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“密码 学 ?是 网 络 空间 安全 、 信 息 安 全 、 密 码 学 .电子 对 抗 与 网 络 攻防 等 
专业 中 一 门 重 要 的 专业 课 ,在 学 科 知 识 体系 中 占据 重要 的 地 位 。“ 数 字 签 名 
与 安全 协议 ”把 密码 学 基础 知识 融会 贯通 ,是 密码 学 中 重要 的 应 用 部 分 ,内 
容 十 分 丰富 。 

作者 在 密码 学 课程 教学 过 程 中 发 现 , 很 多 学 生 只 是 停留 在 对 密码 学 方 
案 过 程 的 记忆 上 ,局 限于 记忆 密码 学 方案 的 具体 步骤 ,而 未 能 思考 和 总 结 密 
码 学 方案 的 设计 方法 和 一 般 规 律 。 目 前 相关 书籍 在 密码 学 设计 机 理 等 内 在 
机 制 的 讲解 方面 仍然 有 改进 的 空间 ,在 思维 的 启发 性 以 及 学 生 创 造 性 能 力 
培养 方面 仍然 有 待 完 善 。 本 书 试图 在 这 些 方面 做 一 点 抛砖引玉 的 尝试 , 写 
作 时 遵循 了 以 下 思路 : 

(1) 注重 启发 性 。 注 重 对 设计 原理 的 分 析 以 及 对 设计 的 动机 和 逮 辑 性 
的 解释 ,让 学 习 者 知 其 然 ,也 知 其 所 以 然 。 

(2) 注重 知识 点 的 逻辑 联系 和 类 比 。 注 重 章节 间 和 章节 内 前 后 各 个 分 
离 的 知识 点 间 的 联系 和 类 比 关 系 ,明确 给 出 各 知识 点 间 的 关联 并 加 以 强调 ， 
便于 读者 体会 密码 算法 或 协议 设计 的 奥妙 。 大 量 采用 类 比 法 、 比 较 法 、 归 纳 
法 、 图 示 法 ,试图 使 读者 对 所 学 内 容 能 够 反复 巩固 ,前 后 联系 。 

(3) 注重 原理 的 总 结 和 推广 。 在 介绍 具体 构造 方案 后 ,给 出 一 般 性 构造 
方案 ,或 者 加 以 讨论 和 提炼 总 结 , 有 利于 知识 的 理解 和 举一反三 。 

(4) 广度 和 深度 兼 具 。 基 本 原理 、 基 本 概念 的 讲解 力求 透彻 ,有 深度 。 
通过 扩展 阅读 加 大 广度 ,便于 回顾 经 典 论文 或 者 了 解 国内 外 发 展 动 态 。 

全 书 共 15 章 , 分 为 4 个 部 分 ,第 1 部 分 “基本 数字 签名 ”包括 第 1 章 “ 数 
字 签 名 概述 ”第 2 章 “ 基 于 单 向 性 的 签名 ”、 第 3 章 “ 基 于 离散 对 数 的 签名 ”、 
第 4 章 “ 离 散 对 数 签名 的 扩展 *”、 第 5 章 “ 基 于 身份 识别 协议 的 签名 "”。 第 2 
部 分 “高 级 数字 签名 ”包括 第 6 章 “ 盲 签名 ”第 7 章 “ 代 理 签名 ”第 8 章 “ 多 重 
数字 签名 ”、 第 9 章 “ 其 他 高 级 签名 "”。 第 3 部 分 “安全 协议 ”包括 第 10 章 
“实体 认证 协议 ”、 第 11 章 “ 身 份 识别 协议 ”、 第 12 章 “ 密 钥 协 商 协议 ”、 第 13 
章 “ 高 级 协议 ”。 第 4 部 分 “基于 身份 的 密码 学 和 可 证 明 安 全 性 ”包括 第 14 章 
“基于 身份 的 公 钥 密码 学 ”和 第 15 章 “ 可 证 明 安 全 签名 和 协议 "”。 

全 书 精心 安排 了 示例 。 为 帮助 读者 进一步 对 内 容 的 拓展 研究 ,有 和 针对 
性 地 提供 了 扩展 阅读 建议 ,用 于 开展 课外 学 习 和 论文 研读 讨论 。 每 部 分 的 
小 结 归纳 了 本 部 分 中 的 知识 点 ,并 指出 重点 和 难点 ,便于 复习 。 打 * 号 的 章 
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节 可 选 学 。 

本 书 主要 面向 高 等 学 校 网 络 空间 安全 、 信 息 安 全 、 密 码 学 .电子 对 抗 、. 应 用 数学 、 计 算 
机 科学 .通信 工程 信息 工程 .软件 工程 等 专业 本 科 高 年 级 学 生 和 研究 生 , 对 具有 密码 学 基 
础 的 研究 人 员 也 有 启发 作用 和 参考 价值 。 

本 书 获 得 全 国 高 等 学 校 计算 机 教育 研究 会 2013 年 度 高 等 学 校 计算 机 教材 建设 立项 
资助 ,湖北 省 教育 厅 高 等 学 校 教学 研究 重点 项 目 ,以 及 国家 自然 科学 基金 面 上 项 目 
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第 工 部 分 
基本 数字 签名 


第 1 音 


第 
数字 签名 概述 


1.1 数字 签名 的 一 般 模型 


随 着 计算 机 网 络 的 发 展 ,特别 是 电子 商务 的 兴起 ,需要 对 消息 进行 消息 完整 性 保护 ， 
对 消息 源 进行 鉴别 ,对 交易 进行 认证 ,以 及 提供 不 可 抵赖 性 保障 。 数 字 签 名 是 手写 签名 的 
数字 化 形式 。 手 写 签名 的 基本 特点 是 :能 与 被 签名 的 信息 在 物理 上 不 可 分 割 , 签 名 者 不 能 
否认 自己 的 签名 ,签名 不 能 伪造 ,签名 容易 被 验证 。 数 字 签 名 是 一 串 二 进 制 数 ,应 与 被 签 
名 的 信息 “ 绑 定 ”在 一 起 。 通 常 ,数字 签名 应 具有 以 下 特性 : 

(1) 签名 是 可 信 的 。 任 何人 都 可 以 验证 签名 的 有 效 性 。 

(2) 签名 是 不 可 伪造 的 。 除 合法 的 签名 者 之 外 ,任何 其 他 人 伪造 签名 是 困难 的 。 

(3) 签名 是 不 可 复制 的 。 对 某 个 消息 的 签名 不 能 通过 复制 变 为 对 另 一 个 消息 的 签 
名 。 如 果 对 某 个 消息 的 签名 是 从 别处 复制 得 到 的 , 则 任何 人 都 可 以 发 现 签名 和 消息 不 一 
致 ,从 而 可 以 拒绝 签名 的 消息 。 

(4) 签名 的 消息 是 不 可 改变 的 。 经 签名 的 消息 不 能 被 算 改 。 一 旦 已 签名 的 消息 被 臭 
改 , 则 任何 人 都 可 以 发 现 消息 和 签名 之 间 的 不 一 致 性 。 

(5) 签名 是 不 可 抵赖 的 。 签 名 者 事后 不 能 否认 自己 的 签名 。 

定义 1.1 一 个 数字 签名 方案 是 一 个 5 元 组 (M,S,K,SIGN,VREFY) ,满足 如 下 的 
条 件 : 

(1) M 是 一 个 可 能 消息 的 有 限 集 。 

(2) S 是 一 个 可 能 签名 的 有 限 集 。 

(3) 密 钥 空间 K 是 一 个 可 能 密 钥 的 有 限 集 。 

(4) 对 每 一 个 二 (k,,k,) EKK, 都 对 应 一 个 签名 函数 Signt E SIGN 和 验证 算法 
Vrfys, EVRFY。 每 一 个 Signs, :M-~S 和 验证 函数 Vrfy, :MXS>{True,False} 是 一 个 
对 任意 消息 mE M 和 任意 签名 sxES 满足 下 列 方程 的 函数 : 

True s = Signk (m) 
Vrfy(m,s) = 
we 5 天 Signk (m) 

对 每 一 个 AE 开 ,函数 Signs 和 Vrfys 都 是 多 项 式 时间 可 计算 的 函数 。Vrfys, 是 一 个 
公开 函数 ,k, 为 公 钥 (验证 密 钥 ); Signx 是 一 个 密码 函数 ,k 为 私 钥 (签名 密 钥 ), 要 秘密 
保存 。 
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1.2 数字 签名 的 分 类 


基于 数学 难题 的 分 类 有 基于 离散 对 数 问题 的 签名 方案 基于 大 整数 素数 因子 分 解 的 
签名 方案 、 基 于 椭圆 曲线 离散 对 数 问题 的 签名 方案 、 基 于 二 次 剩余 问题 的 签名 方案 。 

基于 数字 签名 是 否 具有 恢复 特性 的 分 类 有 不 具有 消息 恢复 (message recovery) 特 性 
的 签名 和 具有 消息 恢复 特性 的 签名 。 

基于 不 同 的 加 密 方 法 的 分 类 有 基于 对 称 加 密 算法 的 数字 签名 和 基于 公 钥 加 密 算法 的 
数字 签名 。 

基于 签名 用 户 的 分 类 有 单 用 户 签名 和 多 用 户 签名 。 多 个 用 户 的 签名 方案 又 称 为 多 重 
签名 方案 。 根 据 签名 的 过 程 不 同 , 多 重 数字 签名 方案 可 分 为 有 序 多 重 数字 签名 方案 和 广 
播 多 重 数字 签名 方案 。 

基于 签名 人 对 消息 是 否 可 见 的 分 类 : 通常 签名 都 是 签名 人 对 消息 可 见 的 ,而 盲 签名 
方案 表示 签名 者 对 消息 不 可 见 ,但 事后 可 以 证 明 消 息 的 存在 。 盲 签名 又 根据 签名 者 是 否 
可 以 对 消息 者 进行 追踪 分 为 弱 盲 签名 方案 和 强 育 签 名 方案 。 

基于 签名 人 是 否 受 别人 委托 签名 的 分 类 有 普通 签名 方案 和 代理 签名 方案 。 如 果 授 权 
的 不 是 一 个 人 ,而 是 多 个 人 ,这 时 称 为 代理 多 重 数字 签名 方案 。 

基于 签名 是 否 有 仲裁 的 分 类 有 直接 数字 签名 和 仲裁 数字 签名 。 直 接 数字 签名 是 在 签 
名 者 和 签名 接收 者 之 间 进 行 的 ,假设 签名 接收 者 知道 签名 者 的 公 钥 。 仲 裁 数字 签名 在 签 
名 者 、 签 名 接收 者 和 仲裁 者 之 间 进 行 。 签 名 者 和 签名 接收 者 共同 信任 仲裁 者 。 签 名 者 首 
先 对 消息 进行 数字 签名 ,然后 送 给 仲裁 者 。 仲 裁 者 首先 对 签名 者 送 来 的 消息 和 签名 进行 
验证 ,并 对 验证 过 的 消息 和 签名 附加 一 个 验证 日 期 和 一 个 仲裁 说 明 , 然 后 把 验证 过 的 签名 
和 消息 发 送 给 签名 接收 者 。 因 为 有 仲裁 者 的 验证 ,所 以 签名 者 无 法 否认 自己 签 过 的 数字 
签名 。 


1.3 ”数字 签名 的 设计 原理 * 


数字 签名 的 设计 主要 依靠 3 种 方法 : 单 向 陷 门 函 数 、 从 身份 识别 协议 通过 非 交 互 零 
知识 证 明 的 机 制 转化 而 来 的 知识 签名 、 利 用 可 交换 的 公 钥 加 密 直接 构造 。 

在 利用 单 向 陷 门 函数 的 数字 签名 中 , 陷 门 信息 作为 签名 人 的 私 钥 ,签名 人 对 私 钥 的 拥 
有 表明 签名 的 真实 性 。 这 种 基于 单 向 陷 门 函数 的 数字 签名 依据 的 是 两 条 基本 的 假设 : 一 
是 私 钥 是 安全 的 ,只 有 其 拥有 者 才能 获得 ;二 是 产生 数字 签名 的 唯一 途径 是 使 用 私 钥 。 尽 
管 数字 签名 的 安全 性 并 没有 得 到 证 明 , 但 超出 这 种 假设 ,即使 用 未 知 的 密 钥 而 非 私 钥 , 或 
使 用 未 知 的 算法 而 非 数字 签名 算法 得 到 的 结果 被 公 钥 验证 成 功 的 例子 尚未 出 现 。 因 此 ， 
这 两 条 假设 的 破坏 是 计算 上 不 可 行 的 ,因而 这 两 条 假设 被 认为 是 成 立 的 。 数 字 签名 的 假 
设 和 例外 如 图 1. 1 所 示 。 

第 二 种 是 从 身份 识别 协议 通过 非 交 互 零 知识 证 明 的 机 制 转 化 而 来 的 知识 签名 。 它 从 
身份 识别 协议 转化 而 来 ,转化 的 方法 主要 是 利用 非 交互 零 知 识 的 方法 (也 称 为 Fiat- 
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(c) 使 用 未 知 算法 的 数字 签名 
图 1.1 数字 签名 的 假设 和 例外 


Shamir 启发 式 )。 具 体 而 言 ,通常 包含 3 个 部 分 ,利用 了 单 向 函数 的 单 向 性 构造 一 个 承诺 
机 制 , 对 一 个 随机 数 进行 承诺 (承诺 后 不 能 再 改变 ) ,然后 利用 哈 希 函数 的 单 向 性 构造 随机 
挑战 值 , 该 挑战 值 通常 是 消息 和 承诺 值 两 者 连接 后 的 散 列 值 ,签名 者 利用 对 秘密 知识 的 拥 
有 构造 相应 的 应 答 。 该 应 答 即 是 签名 ,签名 接收 者 接收 签名 后 验证 签名 的 有 效 性 。 

还 有 一 类 签名 可 以 利用 可 交换 的 公 钥 加 密 直 接 构造 。 可 交换 的 公 钥 加 密 系统 是 指 ， 
设 E. 是 一 个 公 钥 加 密 算法 ,有 消息 空间 M 和 密 文 空间 C , 设 M==C。 令 Du 是 对 应 E. 的 
解密 算法 , 因 E.。 和 Du 都 是 置换 , 且 有 

Da(E.(m)) = E.(Ds(m))=m.m EM 

称 这 种 类 型 的 公 钥 加 密 方案 是 可 交换 的 。 

于 是 可 以 简单 地 通过 解密 算法 进行 签名 ,如 RSA 签名 方案 和 Rabin 签名 方案 。 


1.4 数字 签名 的 安全 性 


1988 年 ,Shafi Goldwasser Silvio Micali 和 Ronald Rivest 第 一 次 严格 定义 了 数字 签 
名 的 安全 性 ,并 提出 了 GMR 签名 方案 ,是 第 一 个 可 证 明 满 足 选择 消息 攻击 下 的 存在 性 不 
可 伪造 的 签名 。 

本 节 只 作 简 要 介绍 ,以 便 读 者 理解 后 文中 的 一 些 概念 。 

首先 需要 明确 安全 需求 ,才能 设计 安全 的 数字 签名 方案 。 在 明确 安全 需求 之 前 ,需要 
先 明确 敌手 模型 。 

敌手 的 能 力 ( 假 想 攻击 方 为 Oscar, 通 信 方 为 Alice) : 

(1) 唯 密 钥 攻击 (key-only attack) 。 敌 手 拥有 公 钥 以 及 签名 验证 函数 Vrfyw() 。 

(2) 已 知 消息 攻击 (known message attack) 。 政 手 Oscar 拥有 Alice 已 签署 的 一 系列 
消息 签名 的 列表 ,例如 (zi,y1), (zz ,yz),… ,其 中 zz; 是 消息 ,y; 是 Alice 对 这 些 消 息 的 签 
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和 名 (有 yi 二 Signa (zi) ,i=1,2,…)。 

(3) 选择 消息 攻击 (chosen message attack)。Oscar 请 求 Alice 对 一 系列 消息 的 签 
名 ,她 选择 消息 zi ,x ,… ,Alice 提供 对 这 些 消息 的 签名 ,它们 分 别 为 y; 二 Signs (zi) ,i 一 
1,2,…。 选 择 只 能 在 挑战 消息 发 出 之 前 进行 。 

有 的 文献 将 选择 消息 攻击 进一步 划分 为 一 般 选择 消息 攻击 和 定向 选择 消息 攻击 。 两 
者 的 区 别 是 : 前 者 选择 消息 是 在 看 到 Alice 的 公 钥 之 前 ,独立 于 Alice 的 公 钥 ;后 者 是 在 
看 到 Alice 的 公 钥 之 后 选择 消息 。 

(4) 自 适 应 选择 消息 攻击 (adaptive chosen message attack) 。 政 手 可 以 选择 ri ,而 且 
允许 根据 先前 的 访问 结果 进行 后 续 的 选择 (选择 可 以 在 挑战 消息 发 出 之 后 继续 ) 。 

在 后 面 , 不 再 区 分 攻击 (3) 和 (4) ,将 其 统称 为 选择 消息 攻击 。 

敌手 的 目标 : 

(1) 完全 攻破 (total break)。 敌 手 能 够 确定 Alice 的 私 钥 , 即 签名 函数 Signw() ,从 而 
对 任何 消息 都 产生 有 效 的 签名 。 

(2) 选择 性 伪造 (selective forgery)。 敌 手 以 某 个 不 可 忽略 的 概率 对 另外 某 个 人 选择 
的 消息 产生 一 个 有 效 的 签名 。 也 就 是 说 ,如 果 给 敌手 一 个 消息 x, 她 能 (以 某 种 概率 ,该 概 
率 不 可 忽略 ) 确 定 签名 y, 使 得 Vrfyy. (x,y) 二 true, 且 该 消息 不 是 Alice 曾经 签名 过 的 
消息 。 

(3) 存在 性 伪造 (existential forgery) 。 敌 手 至 少 能 够 为 一 则 消息 产生 一 个 有 效 的 签 
名 。 换 句 话 说 ,敌手 能 产生 一 个 消息 和 签名 对 (z,y), 其 中 工 是 消息 ,> 是 签名 ,而 
Vrfyw(z,y) 一 true。 该 消息 不 是 Alice 曾经 签名 过 的 消息 。 

一 个 签名 方案 不 可 能 是 无 条 件 安全 的 ,因为 对 一 个 给 定 的 消息 zx,Oscar 使 用 公开 算 
法 Vrfyw 测 试 所 有 可 能 的 签名 y, 直 到 发 现 一 个 有 效 的 签名 。 因 此 ,给 定 足 够 的 时 间 ， 
Oscar 总 能 对 任何 消息 伪造 Alice 的 签名 。 因 此 ,和 公 钥 密码 体制 一 样 , 目 标 是 找到 计算 
上 安全 的 签名 方案 。 


基于 单 向 性 的 签名 


2.1 基于 单 向 函数 的 签名 


首先 介绍 一 次 性 签名 方案 ,因为 其 非常 简洁 , 且 具 有 构造 签名 的 朴素 思想 。 
211 Lamport 一 次 签名 


1979 年 ,L. Lamport 提出 基于 任意 单 向 函数 的 一 次 签名 方案 。 该 方案 在 单 向 函数 是 
双 射 的 条 件 下 是 可 证 明 唯 密 钥 攻击 安全 的 。 

所 谓 一 次 签名 是 指 一 对 公 、 私 钥 只 能 用 于 对 一 个 消息 进行 签名 。 每 次 签署 消息 都 需 
要 更 新 公 钥 。 由 于 这 种 签名 往往 依赖 单 向 函数 或 对 称 加 密 密 钥 算法 ,因而 具有 签名 生成 
和 签名 验证 高 效 的 特点 , 故 可 应 用 在 芯片 卡 等 计算 能 力 较 低 的 环境 。 

Lamport 一 次 签名 方案 如 下 : 

(1) 密 钥 生成 。 设 & 是 一 个 正 整数 。 假 定 7:Y-~Z 是 一 个 单 向 函数 , 设 随机 选择 的 
yyEY,1 委 i 委 一 0,1。 设 = 一 Fwv),1 委 i 魏 &J 一 0,1。 密 钥 开 由 2 个 > 和 2 个 z 
构成 ,y 是 私 钥 ,z 是 公 

(2) 签名 生成 。 对 于 K==(yij ,zij : 1 二 ik,j 二 0,1) ,定义 

5 一 Signk (zly,zz，……zk) 一 (yua 9 V2,zg 9 Ys ) 
(3) 签名 验证 。 关 于 消息 (zi ,zo，… ,zi) 的 签名 (51 ,ss，… si) 验证 如 下 : 
Vrfyk((zlyza，… TD) Cs19529°" 88)) = TrueS fsi) = zo, 

该 签名 方案 的 示意 图 如 图 2. 1 所 示 。 根 据 消息 的 比特 值 ,给 出 相应 的 私 钥 。 非 正式 
地 说 ,有 2k 套 “ 锁 -钥匙 ”对 , 即 2k 把 * 锁 ”和 2& 把 “钥匙 ”。“ 锁 ”为 公 钥 ,“ 钥 匙 ”为 私 钥 ( 是 
秘密 的 )。 明 文中 的 每 一 位 对 应 两 套 * 锁 -钥匙 ”对 。 根 据 明 文中 该 位 的 比特 为 0 或 者 为 
1, 亮 出 两 把 秘密 “钥匙 ”中 的 一 个 。 可 见 , 一 旦 这 


1 
把 “钥匙 ”公开 了 ,如 果 不 更 换 “ 锁 ”, 敌 手 就 可 以 利 0 上 于 
用 该 “钥匙 ”伪造 签名 了 。 a | 码 刀 
例 2.1 不 妨 设 单 向 函数 是 f(z) 一 3* mod | | 
7879,(3 是 素数 群 Z js 的 生成 元 ) ,假定 明文 消息 | 
有 3 个 比特 , 即 A 一 3。 取 私 钥 为 so ds es 
1 
1 


yio 一 5831， yl = 735 
yao 一 803， yl 一 2467 Signg— (Xx Od yt 
?ao = 4285, ya,1 = 6449 图 2.1 Lamport 一 次 签名 方案 
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计算 公 钥 为 
zi,0 = 353! mod 7879 = 2009， yw = 3810 
zz,o = 4672， zz,1 一 4721 
zso = 268， zs 一 5731 
假设 需要 签名 的 明文 为 (010) ,那么 签名 为 (ysovysyyio) 王 (4285,2467,5831)。 接 
收 方 验证 签名 : 


35831 mod 7879 = 2009 
32467 mod 7879 = 4721 
342%35 mod 7879 = 268 

从 该 例 可 见 , 如 果 在 签名 一 次 后 不 更 换 公 钥 , 敌 手 若 知道 了 010 和 101 的 签名 , 便 可 
以 伪造 任何 3 比特 消息 的 签名 了 ,因为 敌手 拥有 了 所 有 的 私 钥 。 

可 证 明 安 全 性 。 如 果 f 是 一 个 双 射 单 向 函数 ,那么 Lamport 一 次 签名 方案 满足 唯 密 
钥 攻击 条 件 下 存在 性 不 可 伪造 (EU-KOA) 。 

证 明 的 思路 : 反 证 法 。 

如 果 Lamport 一 次 签名 方案 不 是 唯 密 钥 攻击 条 件 下 存在 性 不 可 伪造 的 , 则 f 不 是 单 
向 函数 。 这 与 原 假设 矛盾 , 故 得 证 。 下 面 给 出 具体 证 明 。 

如 果 Lamport 一 次 签名 方案 不 是 唯 密 钥 攻击 条 件 下 存在 性 不 可 伪造 的 , 则 存在 
Lamport-Forge 算法 ,给 定 任 意 特 定 的 公 钥 ,输出 一 个 伪造 的 签名 。 现 在 利用 该 算法 作为 
子 过 程 构造 一 个 算法 F-Preimage, 该 算法 对 于 任意 选择 的 元 素 <*<EZ ,输出 > 关于 了 的 原 
像 。 可见, 这 是 一 个 使 用 Lamport-Forge 算法 作为 预言 机 (Oracle) 的 归 约 。 

算法 2.1 F-Preimage(z) 


/* 求 关于 函数 了 的 原 像 */ 
/* 输 入 像 zx*/ 
/* 输 出 = 的 原 像 */ 
{ 
zi 一 zzli 2 
z= (zi,0 sz1,1) 
(zia1)<Lamport-Forge(z) 
Hzx=0 
Return(al) 
Else 
Return("Failure") 


} 


这 里 < 表示 随机 选择 ,构造 一 个 公 钥 二 (zi.6,z1.1), 作 为 预言 机 的 问 询 ,预言 机 返 
回 一 个 伪造 的 签名 ,如 果 该 签名 恰好 为 公 钥 = 一 = 的 签名 ( 私 钥 ), 则 得 到 了 < 的 原 像 。 
显然 ,这 种 情况 的 概率 是 1/2。 


212 基于 对 称 加 密 的 一 次 签名 方案 
一 个 有 趣 的 现象 是 : 最 早 的 签名 方案 是 根据 对 称 加 密 算法 构造 的 。 
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Rabin 的 一 次 性 签名 方案 是 最 早 的 签名 方案 之 一 ,但 该 方案 中 签名 的 验证 需要 签名 
者 和 验证 者 合作 才能 完成 。 下 面 简要 介绍 Rabin 的 基于 对 称 加 密 算法 (如 DES) 的 一 次 
性 签名 方案 。 

1. 密 钥 产生 

产生 签名 的 密 钥 。 签 名 方 随机 产生 2 个 密 钥 作为 签名 用 的 密 钥 ,所 以 这 些 密 钥 需要 
保密 ,2 个 密 钥 为 K1，,K:,…, Kz。 

产生 用 于 验证 签名 的 数据 信息 。 首 先 产 生 2t 个 随机 数 : za ,ws，,… ,uzi; 然 后 用 K; 分 
别 加 密 随 机 数 妈 ,i 二 1,2,…,2t, 得 到 2t 个 密 文 数据 : Ui ,Us,…,Us, 其 中 U;==E(u， 
K;) ,i 二 1,2,…,2t。 公 开 这 21 个 随机 数 和 21 个 密 文 数据 ,作为 用 于 验证 签名 的 数据 。 需 
要 注意 的 是 ,公布 的 wi 序列 和 U 序列 的 排列 顺序 应 与 1 ,Ks,… ,Kz 的 顺序 一 致 。 

2. 签名 过 程 

用 K; 对 报 文 M 的 压缩 码 h(MD) 加 密 获 得 签名 : S=(E(hCMD ,Ki1),E(h(MD,K,),…， 
E(h(M) ,Kz,)), 简 记 为 $= (Si ,Ss,… ,Sz,) ,其 中 ,h 表示 压缩 函数 ,E 表示 加 密 。 签 名 者 
把 消息 和 签名 (CM,S) 发 送 给 验证 者 。 

验证 方 索 取 1 个 密 钥 。 验 证 者 收 到 签名 消息 后 ,随机 产生 一 个 长 为 27 的 比特 串 , 要 
求 其 中 包含 t 个 比特 0,i 个 比特 1。 然后 把 该 比特 串 发 送 给 签名 者 。 签 名 者 收 到 该 长 为 
2t 的 比特 串 之 后 ,发 送 回 上 个 密 钥 。 发 送 原则 是 : 如 果 比 特 串 的 第 i 位 为 1, 则 签名 方 把 
K; 发 送 给 对 方 。 发 送 也 要 求 按 顺 序 完 成 。 

3. 验证 签名 

验证 方 收 到 签名 方 的 :个 密 钥 之 后 ,就 可 以 验证 签名 的 有 效 性 。 验 证 方法 可 以 如 下 
表示 : 


ECu ,K,) 一 U, I 
| t= 


E(h(M) ,Ki)=S; 
其 中 ,K; 表示 接收 方 收 到 签名 方 的 t 个 密 钥 ,i 二 ji ,js,…,j,。 如 果 对 于 所 有 的 1 个 密 钥 ， 
上 面 两 式 均 成 立 , 则 签名 有 效 ,否则 签名 无 效 。 
作为 最 早 的 签名 方案 ,其 设计 思路 是 证 明 签名 者 拥有 对 称 加 密 方案 中 的 密 钥 。 一 次 
性 数字 签名 的 缺点 是 要 求 对 每 一 个 消息 都 使 用 一 个 新 的 公 钥 。 它 的 优点 是 签名 产生 和 验 
证 速度 较 快 ,特别 适用 于 计算 能 力 有 限 的 芯片 卡 中 。 通 常 把 它们 与 可 信 第 三 方 相 结合 ， 
通过 验证 树 结构 来 实现 。 


2.2 利用 公 钥 加 密 的 签名 


221 Rebin 数 字 签 


Rabin 数字 签名 非常 简单 ,方案 描述 如 下 : 

(1) 密 钥 生成 。 两 个 随机 选取 的 不 同 的 模 4 余 3 的 大 素数 p 和 g,n 二 pq; 其 中 4 为 公 
钥 ,p 和 g 需要 保密 。 消 息 空间 和 签名 空间 都 是 由 同 为 模 p 平方 剩余 和 模 g 平方 剩余 的 
正 整数 构成 的 集合 。 
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(2) 签名 生成 。 消 息 mE 2 签名 时 ,首先 要 确保 m 既是 p 的 平方 剩余 ,又 是 g 的 平 
方 镜 余 。 如 果 m 不 能 满足 这 一 条 件 ,可 先 对 m 做 一 个 变换 ,将 其 映射 成 符合 要 求 的 m。 
假设 对 m 签名 ,s 二 Sign(m) 二 Vm mod n。 

(3) 签名 验证 。Vrfy(m,s) 二 trueSm 二 s* mod n。 

Rabin 数字 签名 的 安全 性 可 证 明 等 价 于 大 整数 分 解 的 困难 性 。 

Rabin 数字 签名 容易 遭受 选择 消息 攻击 。 攻 击 者 选择 一 个 x, 计算 出 x? 二 m mod 2， 
将 m 发 送 给 签名 者 签名 ,等 待 签名 者 返回 的 签名 s。 易 知 ,签名 者 对 m 的 签名 可 能 有 4 种 
结果 ,其 中 包括 士 zx mod n。 因 此 ,攻击 者 有 1/2 的 概率 得 到 一 个 非 土 zx mod n 的 签名 ,从 
而 解 出 p 和 9g, 达到 分 解 n 的 目的 ,从 而 完全 攻破 签名 体制 。 

另 一 个 缺点 是 它 要 求 被 签名 消息 必须 是 模 的 平方 剩余 ,否则 需要 映射 后 签名 ,这 给 
该 方案 的 应 用 造成 了 很 大 的 不 便 。 后 来 ,Rabin 又 对 方案 进行 了 改进 ,使 任何 消息 都 能 直 
接 被 签名 ,这 里 不 再 介绍 。 


222 RSA 数 字 签 名 


RSA 签名 方案 是 目前 使 用 较 多 的 一 个 签名 方案 ,也 是 已 经 提出 的 数字 签名 方案 中 最 
容易 理解 和 实现 的 签名 方案 ,其 安全 性 基于 大 整数 因子 分 解 的 困难 性 。 方 案 描述 如 下 : 

(1) 密 钥 生成 。 首 先 选取 两 个 不 同 的 大 素数 和 0 ,计算 z 一 pq, 其 欧 拉 函 数 %(Cz) 一 
(Pp 一 1)(g 一 1) ,然后 随机 选择 整数 e(1 二 e 二 $8(n)), 满 足 gcd(e,$(n)) 二 1, 计 算 d=e ! 
mod n, 则 签名 者 A 的 公 钥 为 (n,e), 私 钥 为 4d。p 和 g 是 秘密 参数 ,需要 保密 ,如 不 需要 保 
存 , 计 算出 ed 后 销毁 p 、g。 

(2) 签名 生成 。 待 签名 的 消息 为 mE 2 ,签名 为 ;二 Sign(m) 二 mx mod n。 将 (mm,s) 
发 送 给 接收 者 。 

(3) 签名 验证 。 签 名 接收 者 B 收 到 消息 m 和 签名 s 后 ,验证 等 式 允 =Y mod n 是 否 
成 立 。 若 成 立 ,签名 有 效 ; 和 否则 签名 无 效 。 


正确 性 证 明 
一 mod 7 一 7 mod n=ms™! mod n=m(m*™”)* modn 
=mX 1 mod n=m 
1. 安全 性 分 析 


上 述 方案 是 一 个 最 简单 的 RSA 签名 方案 ( 教 课 书 RSA 签名 方案 ) ,但 是 不 难 发 现 , 上 
述 方案 存在 一 些 问 题 : 

(1) 任何 人 都 可 以 随机 选择 一 个 任意 的 yE Z, .计算 z=y mod n, 于 是 任何 人 都 可 
以 伪造 一 个 有 效 的 消息 签名 对 (z,y)。 这 种 情况 就 是 唯 密 钥 攻击 条 件 下 的 存在 性 伪造 。 

(2) 如 果 消 息 zi ,zs 的 签名 分 别 为 mw ,yz , 则 任何 知道 zx ,yw ,za,y 的 人 都 可 以 伪造 
对 消息 mizs 的 签名 mwm , 即 生成 一 对 有 效 的 明文 和 签名 对 (zz ,yy )。 因 为 (yy) 一 
(yi)(y5) 一 Zizz ,签名 验证 成 立 。 这 种 情况 就 是 选择 消息 攻击 下 的 选择 性 伪造 ,或 者 是 已 
知 消息 攻击 条 件 下 的 存在 性 伪造 。 

(3) 这 种 签名 方案 对 签名 的 消息 有 限制 , 即 zxE 2Z, ,于 是 长 度 不 能 超过 [logsn | 比特 。 通 
常 实际 应 用 中 要 签名 的 消息 都 较 长 ,可 能 比 n 大 。 这 种 情况 下 ,只 能 先 对 消息 进行 分 组 , 然 
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后 对 每 组 消息 分 别 进行 签名 ,这 样 导致 签名 长 度 变 长 ,签名 速度 变 慢 ,签名 验证 更 耗 时 。 

(4) 利用 签名 服务 获取 明文 (消息 破译 ) 。 假 设 敌 手 已 经 截获 密 文 c,c= mod n, 想 
求 出 明文 zx。 于 是 , 先 选择 一 个 小 的 随机 数 ,计算 

s=r modn 
l=sXcmodn= zxr modn 

t=r! modn 

因为 ;=r*, 所 以 s* mod n= 二 (rr*)* mod 2 一 r mod n。 然 后 ,敌手 设法 让 签名 者 对 1 签 
名 ,于 是 敌手 又 获得 上 k= 二/ mod n。 敌 手 计 算 +Xk=r!XH 二 r ?1X¥ Xd=r 1!1XrXd 二 
“三 x mod n, 于 是 敌手 可 获得 明文 x。 

(5) 先 加 密 后 签名 方案 的 攻击 。 这 种 情况 的 原理 与 情况 (2) 类 似 , 是 选择 消息 攻击 下 
的 选择 性 伪造 ,或 者 是 唯 密 钥 攻击 条 件 下 的 存在 性 伪造 。 

假设 签名 者 A 采用 先 加 密 后 签名 的 方案 发 送 消息 x 给 接收 者 B, 即 先 用 B 的 公开 密 
钥 es 对 zz 加密 ,然后 用 自己 的 私 钥 ds 签名 。 设 A 的 模 数 为 na,B 的 模 数 为 me ,于 是 A 
发 送 给 B 的 加 密 后 签名 为 (ze mod na) mod na。 

也 可 以 伪造 A 的 签名 ,方式 是 改变 加 密 的 消息 。 由 于 B 知道 ns 的 分 解 ,于 是 能 够 计 
算 模 ns 的 离散 对 数 , 即 能 够 找到 满足 (x1)* 二 x mod ne。 

然后 ,公开 新 公 钥 为 kes ,声称 收 到 的 消息 为 zi ,而 不 是 x。 

由 于 (zfa mod np)*A mod na 二 (zx% mod za) mod na，A 无 法 否认 。 

上 述 问题 中 的 (2)、(4) 和 (5) 均 来 自 签名 函数 的 同 态 特 性 , 即 两 个 签名 的 乘积 等 于 另 
一 个 消息 的 签名 ,也 就 是 说 545 二 mfm? 二 (mms)* mod n。 为 了 去 掉 这 一 特性 ,常见 的 方 
法 是 在 签名 之 前 先 对 消息 做 散 列 变换 ,然后 对 变换 后 的 消息 进行 签名 。 即 ;==Sign(m) 一 
h(m)" mod n, 这 里 h(m) 是 一 个 散 列 函 数 。 签名 验证 也 做 相应 的 改动 , 即 先 验证 等 式 
h(m) 三 s* mod n 是 否 成 立 。 

思考 2.1 为 什么 经 过 散 列 变换 后 ,攻击 (1) 和 (2) 不 会 发 生 ? 

攻击 (1) 中 ,即使 敌手 任 选 > 计算 出 上 一 y mod ,由 于 散 列 函数 的 单 向 性 ,无 法 找到 
工 使 得 h(x)=1。 

攻击 (2) 中 ,即使 敌手 拥有 消息 zi ,zs 的 签名 y1 ,ys, 要 想 使 得 构造 的 签名 wys 为 某 
个 消息 zt 的 签名 ,需要 寻找 t, 使 其 满足 h(t) 二 (yiys)* mod n, 由 于 散 列 函 数 的 单 向 性 ,这 
是 困难 的 。 

同 理 ,可 说 明 (4) 和 (5) 不 再 会 发 生 。 

因此 ,一 个 典型 的 签名 范例 如 图 2. 2 所 示 。 


一 | 散 列 
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| 


2.2 先 散 列 后 签名 
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2. 散 列 后 签名 方案 的 一 般 安全 性 分 析 

类 似 上 面 的 方法 ,将 待 签 名 的 消息 先 计 算 散 列 值 ,然后 进行 签名 的 方法 ,可 一 般 性 地 
描述 为 ;二 Sign(h(m))。 下 面 讨论 该 类 方法 的 安全 性 : 

1) 已 知 消息 攻击 的 存在 性 伪造 

假设 敌手 有 一 个 有 效 的 数字 签名 (ms) ,其 中 =Signs (h(m))。 敌 手 首先 计算 
hh(m) ,如 果 能 够 找到 m' 关 mm ,使 得 hCGm ) 二 hm), 则 (m,s) 就 是 一 个 有 效 的 签名 ,完成 了 
一 次 存在 性 伪造 。 为 了 阻止 该 攻击 ,必须 要 求 散 列 函 数 h 是 抗 第 二 原 像 的 ( 抗 弱 碰撞 的 )。 

2) 选择 消息 攻击 的 存在 性 伪造 

敌手 首先 找到 m' 关 m, 使 得 h(m) 二 h(m)。 然 后 将 消息 m 发 送 给 签名 者 ,并 让 A 对 
消息 的 散 列 值 h(m) 签 名 ,从 而 得 到 s 二 Signi (hm)) ,于 是 敌手 可 以 成 功 伪造 签名 (ms)， 
完成 了 选择 消息 攻击 条 件 下 的 存在 性 伪造 。 为 阻止 该 类 攻击 ,必须 要 求 散 列 函 数 h 是 抗 
强 碰撞 的 。 

3. RSA 数字 签名 与 RSA 加 密 结合 使 用 时 的 问题 

实际 应 用 中 ,常常 需要 将 签名 和 加 密 结合 使 用 ,由 于 不 同 的 用 户 使 用 的 模 数 步 一 样 ， 
使 用 中 需要 注意 结合 的 顺序 。 设 RSA 密码 系统 中 ,用 户 A 的 公 钥 为 (Na ,es), 私 钥 为 
dA, 用户 B 的 公 钥 为 (Ns ,es), 私 钥 为 ds, 且 设 Ns 二 Ns, 则 用 户 A 若 想 发 送 一 个 既 签名 
又 加 密 的 消息 mx 给 B, 应 采取 的 步骤 如 下 : 

(1) 利用 自己 的 签名 密 钥 ds 对 消息 m 进行 签名 ,得 到 的 签名 为 y=m** mod NA。 

(2) 利用 接收 方 B 的 公 钥 对 其 加 密 得 到 c= 二 ys mod Ns ,得 到 的 密 文 c 中 包含 了 对 消 
息 m 的 签名 。 

(3) 接收 方 B 在 收 到 密 文 后 , 先 解 密 , 然 后 验证 签名 。 

上 述 过 程 在 NA 之 Ne 时 ,会 导致 解密 后 的 结果 不 能 通过 签名 验证 。 例 如 ,对 于 参数 
(NA 王 13X17 王 221,eA 一 29),(Ne 王 11X7 王 77,ea 一 7) ,消息 x 二 100,m 的 签名 为 y= 
1005 mod 221 一 172, 用 了 B 的 公 钥 加 密 后 得 c=1727 mod 77=39,B 收 到 密 文 39 后 ,解密 得 
到 y 王 18 mod 77, 验 证 m 二 18”mod 221= 二 81, 于 是 ,m 了 关 m。 易 知 ,发 生 这 种 情况 的 概 
率 为 (Na 一 Ne)/Na。 

为 解决 上 述 问 题 ,常用 的 一 个 方法 是 先 加 密 后 签名 , 即 保证 先进 行 模 数 较 小 的 运算 。 
但 该 方法 容易 遭受 攻击 ,攻击 者 可 对 加 密 的 消息 进行 签名 ,扰乱 了 消息 来 源 。 另 一 个 办 法 
是 系统 中 每 个 用 户 采 用 两 个 模 数 ,一 个 用 于 加 密 , 另 一 个 用 于 签名 , 且 保 证 所 有 用 户 的 签 
名 模 数 均 小 于 其 他 用 户 的 加 密 模 数 。 这 样 ,确保 了 先 签名 后 加 密 不 会 出 现 问 题 。 如 可 选 
择 所 有 签名 的 模 数 为 比特 ,所 有 加 密 的 模 数 为 1 十 1 比特 。 

思考 2.2 作为 一 个 有 趣 的 扩展 思考 ,是 否 存在 多 个 密 钥 的 公 钥 密 码 体制 ? 

可 以 将 RSA 体制 推广 为 有 多 个 密 钥 的 公 钥 体制 。 令 =pq,p 和 g 为 素数 , 今 选择 
个 密 钥 ,ks,…,k, 使 k1k,…k, 圭 1 mod (p 一 1)(g 一 1)。 令 M 是 明文 ,于 是 有 Ma = 
M mod n, 因 此 可 以 由 ,ks,…,k, 组 成 多 种 加 解密 组 合 。 例 如 ,t= 二 5, 则 可 以 用 ,k 加 
密 , 有 密 文 C 二 Mi“% mod n; 用 ,ks .ks 解密 ,有 M 二 Ch 与 mod n。 类 似 地 ,可 以 扩展 到 
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多 签名 体制 。 例 如 ,选择 + 二 3, 可 将 & 作为 A 的 签名 私 钥 ,ks 是 B 的 签名 私 钥 ,ks 是 验证 
公 钥 。 对 一 个 给 定 文件 ,可 由 A 进行 签名 ,得 S' 二 Mh mod n, 然 后 将 S' 传 送 给 B 签名 ,B 
先 恢复 消息 以 证 实 文件 内 容 : M 一 S es mod n, 然 后 对 其 作 进一步 签名 : S 一 S* mod m， 
S 就 是 A 和 B 的 签名 结果 ,任何 人 都 可 用 公 钥 ks 验证 签名 : M 一 Ss mod n。 


第 3 章 
基于 离散 对 数 的 签名 


3.1 ElGamal 签名 


311 日 Gama 签名 体制 


1985 年 ,T. ElGamal 提出 一 个 基于 离散 对 数 问题 的 数字 签名 体制 , 称 为 ElGamal 数 
字 签 名 体制 ,其 安全 性 基于 有 限 域 上 的 离散 对 数 问题 的 困难 性 。 方 案 描述 如 下 : 

(1) 密 钥 生成 : 选取 大 素数 p,g EZ; 是 一 个 本 原 元 。p,g 为 公开 参数 。 随 机 选取 整 
数 x,1 二 x 三 p 一 2, 计 算 > 一 g* mod p。y 是 公 钥 ,z 是 私 钥 。 

(2) 签名 生成 : 设 mzEZ; 是 待 签名 的 消息 。 随 机 选取 一 个 秘密 整数 k,1<kp 一 2， 
对 消息 mm 的 签名 为 Sign(m) 二 (r,s) EZ XZ 1, 其 中 

r=g:modp 
5 一 (7 一 2r)K mod (p—1) 
(3) 签名 验证 : 对 于 mmEZ; ,(r's)EZ; XZ,， ,如 果 
yr nodp 

则 确认 (r,s) 为 消息 m 的 有 效 签名 。 

正确 性 证 明 

由 于 一 (xm 一 ZrR mod (p 一 1), 于 是 zr 十 ks 二 m mod (p 一 1)。 因 此 ,如 果 (,s)€E 
Z? XZ -1 是 消息 的 正确 签名 , 则 一 定 有 yr’ 三 g”g“ 圭 g” mod p。 

例 3.1 设 p 二 11,g 二 2 是 Z1 的 本 原 元 ,选取 z=8, 计 算 y=g” mod 一 2 mod 11 一 3。 
ps8sy 公开 ,zx 保 密 。 

假设 Alice 要 对 消息 mm 二 5 签名 ,Alice 首先 秘密 选择 & 一 9, 因 为 gcd(9,10) 二 1, 所 以 
9 模 10 的 逆 一 定 存在 ,有 9 ! mod 10 二 9。Alice 计 算 

r=g:modp=2modl1l=6 
5 一 (7 一 2r)R mod (p—1)= (5—8X6)xXx9 mod10=3 

(r,s) 二 (6,3) 为 Alice 对 消息 m= 二 5 的 签名 。 

假设 Bob 对 消息 ==5 的 签名 (r,s) 二 (6,3) 进 行 验证 ,因为 3 X68 二 25 mod 11, 验 证 
通过 ,确认 其 为 有 效 签名 。 
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第 3 章 “基于 离散 对 数 的 签名 \@ 
(1) 抵御 选择 性 伪造 的 安全 性 。 


Q@ 敌手 在 没有 签名 私 钥 zz 的 情况 下 ,试图 对 给 定 的 消息 m 伪造 签名 。 敌 手 拥有 的 
信息 是 p,g 和 y。 方法 是 首先 随机 选择 一 个 值 ,然后 试图 找到 相应 的 ,满足 目 标 方程 
y"T7’ 二 g”mod p, 为 达到 这 一 企图 ,需要 求 出 log,(g"y“"), 即 s。 但 这 是 困难 的 ,因为 这 是 
解 离散 对 数 问题 。 

@ 如 果 敌 手 首先 选择 *, 然 后 试图 找到 ~, 则 需要 求解 关于 > 的 方程 

yr'=ge" modp 
求解 该 等 式 目前 为 止 没 有 可 行 的 办 法 。 

@ 如 果 敌 手 已 知 消息 mm, 试图 同时 求 (r,s) ,需要 求 关 于 7,s 的 方程 

yT’ 三 g” modp 
目前 仍 没 有 人 发 现 求解 这 一 问题 的 方法 ,也 没有 人 证 明 不 能 求解 这 个 问题 。 

(2) 抵御 存在 性 伪造 的 安全 性 。 

如 果 敌 手 先 选择 > 和 ,然后 去 解 m, 企 图 构造 一 次 存在 性 伪造 攻击 ,那么 需要 求 
logsy7 (一 72) ,这 又 一 次 面临 求解 离散 对 数 问 题 。 

当 同 时 选择 r,s,m, 则 存在 性 伪造 是 可 能 的 ( 见 3.1. 3 节 中 的 安全 性 分 析 )。 但 是 可 
通过 先 使 用 散 列 函 数 来 排除 这 种 可 能 。 

思考 3.2 先 验 思考 : 方案 是 怎么 想 出 来 的 ? 

必然 有 一 个 关键 方程 建立 了 签名 与 消息 m 之 间 的 联系 , 即 存在 一 个 验证 签名 的 等 
式 , 该 等 式 中 必然 包含 签名 和 消息 m。 

回顾 思考 3. 1, 从 (1) 中 四 四 的 分 析 来 看 ,签名 的 两 项 (" 和 s) 必 须 至 少 在 指数 位 置 出 
现 。 从 (2) 的 分 析 来 看 ,m 也 必须 出 现在 指数 位 置 。 

于 是 ,验证 签名 等 式 必然 是 形 如 A'B’' 三 C" mod p,A,B,C 可 取 的 值 为 公开 的 信息 
yyg97ry5。 

然后 ,通过 验证 方程 反 推 (构造 ) 出 签名 方程 。 例 如 ,假设 取 A=r,B==g,C=y, 则 验 
证 方程 为 ”g :一 y” mod p。 因 为 总 是 有 r= 二 g* mod p, 于 是 有 g*g' 王 g™, 故 kr 十 s 二 mz， 
即 ;二 mz 一 kr mod (p 一 1)。 这 便 得 到 了 一 个 签名 方程 。 

思考 3.3 一 般 性 发 散 思维 : 该 签名 设计 方案 的 一 般 性 原理 是 什么 ? 

参见 4. 1 节 , 这 里 只 是 简要 提 及 。 

设计 中 的 重要 环节 是 签名 过 程 ,回顾 该 过 程 可 以 发 现 有 两 个 函数 ,一 个 是 选取 随机 变 
量 构 造 一 个 r= 二 g* mod p ,该 函数 引入 随机 性 &; 另 一 个 隐 数 的 一 般 模型 是 ak 二 6 十 cx mod 
(Pp 一), 这 里 a,byc 可 以 是 m ,r,s 的 函数 。 计 算出 s, 可 见 s 中 蕴含 了 签名 者 对 m,z,k 的 
拥有 。 签 名 就 是 (~,s) 。 

更 深入 地 解释 需要 用 到 实体 认证 (entity authentication) 和 身份 识别 (identification) 
协议 的 概念 ,如 零 知 识 (zero knowledge) .比特 承诺 (bit commitment) 。 可 以 参见 第 5 章 ， 
这 里 只 作 简 要 介绍 。 签 名 协议 可 视 为 “承诺 (证 据 ) 一 挑战 (challenge) 一 应 答 (response)” 
机 制 ,需要 交互 双方 共同 配合 ,采取 “挑战 应 答 ” 的 形式 。“ 应 答 ” 的 验证 成 功 表明 签名 者 知 
道 签名 密 钥 ( 私 钥 )z。 为 了 将 工 传递 到 签名 验证 者 ,需要 将 z 进行 “掩盖 ”掩盖 ”的 方法 
是 利用 随机 数 &。 由 于 有 & 是 签名 者 随机 选取 的 ,需要 将 关于 & 的 信息 “同时 ”传递 给 签名 
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验证 方 , 这 就 是 “承诺 ”, 即 承诺 一 个 随机 数 &。 在 签名 过 程 中 ,由 于 没有 交互 过 程 ,“ 挑 战 ” 
环节 由 签名 者 自己 完成 ,但 要 保证 “挑战 ?的 随机 性 。 利 用 随机 数 & 计算 "一 gs: mod p,r 作 
为 承诺”,“ 承 诺 ”(y) 本 身 的 单 向 性 表现 出 一 定 随机 性 ,可 视 为 随机 “挑战 "。 签 名 方程 中 
adR&R 一 0 十 cz mod (pp 一 1) 蕴 含 着 “承诺 ”r、“ 应 答 ”s 和 私 钥 xz 之 间 的 关系 ( 即 a,b,c 为 ms,r,s 
的 组 合 )。 利 用 签名 方程 ak 二 5 十 cr mod (p 一 1) 计 算 变 量 s,s 便 视 为 “应 答 ”。“ 应 答 ” 表 
明 对 随机 “挑战 ”的 回答 ,计算 “应 答 ”s 需要 用 到 签名 私 钥 工 , 故 “ 应 答 ”* 表明 了 对 私 钥 
Zz 的 拥有 ,另外 ,由 于 的 随机 性 保证 了 “应 答 ” 中 没有 透露 私 钥 zx 的 信息 ,成 功 地 “掩盖 ” 
了 
更 一 般 性 的 解释 见 5. 3 节 。 
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1. 安全 性 分 析 

(1) 整体 性 攻击 。ElGamal 的 安全 性 基础 是 离散 对 数 问 题 的 困难 性 ,所 以 p 必须 是 
一 个 充分 大 的 素数 ,否则 利用 穷 举 搜索 法 可 以 很 容易 地 由 已 知 (p,g,y) 从 同 余 方程 > 一 
g”mod p 算出 私 钥 zx。 因 此 ,p 至 少 应 该 是 二 进 制 512 位 的 素数 (避免 指数 演算 法 攻击 )， 
从 长 期 安全 考虑 ,推荐 使 用 1024 位 或 者 更 长 的 密 钥 。 另 外 ,一 1 最 好 有 大 的 素数 因子 
(避免 Pohlig-Hellman 算法 攻击 ), 私 钥 zx 最 好 是 Z; 的 素数 阶 子 群 的 生成 元 。 

(2) 存在 性 伪造 。 一 种 是 唯 密 钥 攻 击 条 件 下 的 存在 性 伪造 。 伪 造 者 可 任 选 两 数 
usv:1u,v 达 p 一 1,gcd(v,p 一 1)= 二 1, 计 算 

r=g "ymodp 
s 一 一 mu mod (p—1) 
m=—us mod (p—1) 

可 以 验证 yr=g” (gy")-"™ 一 gr+mm yr=g"™ 三 g” mod 户 成 立 , 所 以 (r,s) 是 
对 消息 m 的 有 效 签 名 。 由 于 这 样 的 消息 m 不 可 事先 确定 ,因此 m 可 能 毫 无 意义 。 这 是 
唯 密 钥 攻击 条 件 下 的 存在 性 伪造 。 

另 一 种 是 已 知 消息 攻击 条 件 下 的 存在 性 伪造 。 假 定 (r,s) 是 消息 m 的 有 效 签名 ,那么 
敌手 可 以 利用 这 个 “消息 -签名 ”对 伪造 其 他 消息 的 签名 。 设 ,i,j 是 整数 ,0<h,i,j 三 p 一 2， 
且 gcd(hr 一 js,p 一 1)==1, 计 算 

A= rapBi modp 
A=Ahrmjs)! mod (p—1) 
m’ = A(hzrtis) hr 一 大) mod (p—1) 

容易 验证 ,可 以 得 到 一 个 对 m 的 有 效 签名 (4,p)。 

(3) 随机 数 k 要 秘密 选取 ,不 可 泄露 ,否则 根据 可 求 得 签名 私 钥 x 二? (m 一 sk) 
mod (p 一 1)( 如 果 有 gcd(r,p 一 1)==1)。 

(4) 随机 数 k 不 能 重复 使 用 ,否则 有 可 能 受到 重复 性 攻击 。 例 如 ,用 对 消息 mi 和 
mz 分 别 产生 了 两 个 签名 (r,s1) 和 (r,s;), 则 可 通过 解 关 于 未 知 数 工 与 & 的 同 余 方程 组 

人 2 一 mr 十 Smod (p—1) 


mz 一 1 十 smod (p—1) 
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求 得 签名 私 钥 zx。 即 和 一 ze 一 &Cn 一 2) mod (p 一 1), 设 d 二 gcd(s1 一 ss,p 一 1), 因 为 d|p 一 


1, 且 dl(s 一 sz) ,可 证 明 4 (Ca 一 rz) ,定义 z2 人 23,p 全 , 则 有 wm 


=ks’ mod p’, 且 gcd(s',p')=1, 那 么 k==m’(s’)-! mod p’ ,k=tp’ 二 +m (s')-!1(0<1 过 
d 一 1) ,通过 测试 r= 二 g* mod p 来 确定 哪 一 个 是 k。 

(5) 签名 者 多 次 签名 时 选取 的 多 个 之 间 应 无 关联 ,否则 可 能 受到 同 态 性 攻击 。 例 
如 ,3 个 不 同 的 签名 所 选取 的 随机 数 为 & ,ks ,ks ,满足 ks 二 和 十 ks, 故 由 s 三 (mm 一 zr)k 1 
mod (p 一 1) 可 得 mm 三 ks 十 zr mod (p 一 1)。 于 是 

m 三 (2zrl 十 As) mod (p—1) 


mz (zxrs ksss) mod (p—1) 
ms = (zrs 十 Asss) mod (p—1) 
对 以 上 三 式 分 别 乘 以 ssss ,sis3,s1s2 ,得 : 


mis2ss 三 zriszss 十 islszsas mod (p—1) (1) 
71112S153 三 zr2siss + kzsissss mod (p—1) (2) 
mas1sz = zrasiss + kasissss mod (pO—1) (3) 
式 (1) 十 式 (2) 一 式 (3), 利 用 ks 二 ki 十 ka, 可 求 出 签名 私 钥 : 
X= (mssstm2sss 一 11235153 ) (rissss 十 rasiss — rasis2) ! mod (p—1) 


(6) 代 换 攻击 。 设 (r,s) 是 m 的 一 个 签名 ,车 rr 可 道 , 设 及 ==tk 十 n,t,n 为 任意 两 个 整 
数 , 且 满 足 & EZ i,r 二 rig” mod p,s 二 skrn!ig"(tk 十 n) mod (p 一 ]), 则 (r,s ) 是 mm 
的 签名 ,其 中 以 = 二 rT!ig"m mod (p 一 1)。 从 而 完成 已 知 消息 攻击 条 件 下 的 存在 性 伪造 。 

理由 如 下 : (r,s) 是 m 的 一 个 签名 , 则 有 m= 二 (zr 十 sk) mod (p 一 1), 若 r 可 道 ,又 有 
二 7 1(m 一 sk) mod (p 一 1) ,由 签名 方程 得 m= 二 十 zr mod (p 一 1), 将 5 ,k' ,zr 代 
入 方程 得 m= 二 (rT 1g"m) mod (p 一 1)。 

由 (3)、(4) 和 (5) 可 知 ,随机 数 k 的 选取 和 保管 对 私 钥 x 的 保密 性 起 重要 的 作用 。3 
种 攻击 的 目标 都 是 完全 攻破 。 问 题 (2) 和 (5) 可 通过 在 签名 之 前 先 使 用 散 列 函数 来 解决 。 

2. 性 能 分 析 

ElGamal 签名 生成 需要 做 一 次 模 指数 运算 (r= 二 g* mod pp) 一 次 扩展 的 Euclidean 算 
法 运算 ( 求 随机 数 k 的 逆 元 ) 和 二 次 模 乘 运算 (一 (m 一 zr)A mod (p 一 1)) ,前 两 个 运算 
可 以 离线 进行 。 

3. Rabin RSA 和 EIGamal 在 签名 设计 思路 上 的 比较 

Rabin、RSA 是 采用 (类 似 于 加 密 体制 中 的 ) 解 密 函 数 进行 签名 ,用 加 密 函 数 进 行 验 
证 ,签名 只 由 一 项 构成 。 而 EIGamal 签名 是 构造 了 一 种 “等 式 关 系 ” 进 行 签名 ,因此 ,后 者 
的 签名 中 拥有 两 个 部 分 (一 个 是 “真正 ”的 签名 部 分 ;, 一 个 是 “承诺 ”r)。 这 种 “等 式 关 系 ” 
证 明了 签名 者 对 私 钥 的 拥有 。 因 此 ,如 何 构造 含有 签名 、 消 息 和 私 钥 等 信息 的 “等 式 关 系 ” 
成 为 设计 签名 方案 的 关键 ,如 图 3. 1 所 示 。 
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(a) Rabin 、RSA 签 名 体制 


rsgt modp 
s<(h(m)-xr)! mod(p-1) 


(b) EIGamal 签 名 体制 
图 3.1 Rabin、RSA 和 ElGamal 签名 在 设计 思路 上 的 差异 


3.2 ” Schnorr 签名 


C. Schnorr 在 1989 年 提出 了 该 数字 签名 方案 ,该 方案 具有 签名 速度 较 快 ,签名 长 度 
较 短 等 特点 。 下 面 简要 介绍 其 方案 的 实现 过 程 。 

(1) 密 钥 生成 : 首先 选择 两 个 大 素数 p 和 g ,gq 是 p 一 1 的 大 素数 因子 ,然后 选择 一 个 
生成 元 gE€2Z) , 且 g' 寺 1 mod p,g 闫 1, 最 后 选择 随机 数 z,1 二 zx 二 gq, 计算 y==g*” mod p， 
则 公 钥 为 (p,q,g，,y), 私 钥 为 x。 

(2) 签名 过 程 : 签名 者 选择 随机 数 k,1k<q 一 1, 然 后 计算 : 

r=g:modp 
e=h(m.r) 
S 一 (ze 十 R) modg 
得 到 的 签名 为 (e,s) ,其 中 广 为 安 全 的 散 列 函 数 ,j:{0,1) 一 Z，。 
(3) 验证 过 程 : 签名 接收 者 在 收 到 消息 m 和 签名 (e,s) 后 ,首先 计算 
r=g'y*modp 
然后 验证 等 式 
e Fh(m,r’) 
如 等 式 成 立 , 则 签名 有 效 ;否则 ,签名 无 效 。 
正确 性 证 明 
因为 
r= gmod pe=h(mr),s= (xe +k) modg 
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r=gy “modp=gg ”modp=eg ”modp= gg” "modp 
=g:modp=r 
因此 
hlmsr’) =h(mr)=e 

例 3.2 一 个 Schnorr 签名 的 实际 例子 。 

(1) 密 钥 生成 : Alice 选择 素数 p 二 129 841 和 g= 二 541, 这 里 (p 一 1)/g 二 240。 然 后 
Alice 选取 随机 数 g 二 26 346E€Z;? ,并 计算 g 二 26 34629 mod p= 二 26。 既 然 g 天 1 ,那么 g 
生成 Z; 中 唯一 的 541 阶 循环 子 群 。Alice 接着 选取 私 钥 zx 一 423 ,计算 > 一 26 2 mod p 一 
115 917。 则 Alice 的 公 钥 是 (p= 二 129 841,q= 王 541,g 一 26,y 一 115 917)。 

(2) 签名 生成 : 为 签署 消息 m= 二 11101101, Alice 选取 随机 数 & 王 327,1 委 & 委 540 ,并 
计算 "一 2637 mod p= 二 49 375,e 二 h(m,r) 二 155。 最 后 Alice 计算 * 王 423X155 十 327 mod 
541 一 431。 从 而 签名 为 (* 一 431,e 一 155) 。 

(3) 签名 验证 : Bob 计算 r ==26%31 X115 917-155 mod p= 二 49 375,h(m,r’) 二 155 二 e。 
故 Bob 接收 该 签名 。 

性 能 分 析 

签名 生成 需要 模 p 的 一 次 指数 运算 (r= 二 g* mod p) 和 模 g 的 一 次 乘法 运算 (*= (ze 十 
&) mod gq)。 模 p 指数 可 以 离线 计算 。 计 算 有 hm,r) 的 时 间 应 相对 较 少 ,具体 与 散 列 函数 
的 选择 有 关 。 验 证 过 程 需 要 模 p 的 两 次 指数 运算 。 采 用 gq 阶 子 群 并 没有 对 ElGamal 方 
案 有 很 大 的 改进 ,但 确实 比 EIGamal 方法 有 更 短 的 签名 ,因为 e。 和; 都 比 p 短 。 

安全 性 分 析 

Schnorr 数字 签名 方案 的 参数 选取 与 EIGamal 数字 签名 方案 不 同 ,ElGamal 方案 中 g 
为 Z; 的 生成 元 ,而 在 Schnorr 数字 签名 方案 中 ,g 为 Z; 的 g 阶 子 群 的 生成 元 。 从 穷尽 搜 
索 签名 者 私 钥 的 角度 而 言 ,ElGamal 签名 的 安全 性 较 高 ,其 生成 元 的 阶 较 大 。 此 外 ,两 者 
安全 性 相似 。 

思考 3.4 ” Schnorr 数字 签名 的 设计 机 理 。 

Schnorr 数字 签名 是 典型 的 基于 身份 识别 协议 的 转换 形式 ,通过 非 交 互 零 知识 证 明 
协议 ,证 明了 对 签名 私 钥 的 拥有 。 还 是 基于 “承诺 一 挑战 一 应 答 ” 三 步骤 ,r 二 g* mod p 是 
对 的 “承诺 ”, 其 随机 “挑战 ”十 分 典型 ,为 hm,r),“ 应 答 ” 则 是 ;二 (ze 十 k&) mod g, 从 而 
证 明了 对 私 钥 的 拥有 ,并 通过 & 的 随机 性 “掩盖 ”了 z 的 传递 ,不 泄露 关于 z 的 信息 。 


3.3 数字 签名 标准 DSS 


1994 年 12 月 美国 NIST 正式 颁布 了 数字 签名 标准 DSS (FIPS 186)。 它 是 在 
ElGamal 和 Schnorr 数字 签名 方案 基础 上 设计 的 。DSS 最 初 建议 使 用 pp 为 512 位 的 素 
数 ,g 为 160 位 的 素数 ,后 来 在 众多 批评 下 ,NIST 将 DSS 的 密 钥 户 从 原来 的 512 位 增加 到 
512~1024 位 。 当 p 选 为 512 位 的 素数 时 ,ElGamal 签名 的 长 度 为 1024 位 ,而 DSS 中 通 
过 160 位 的 素数 g 可 将 签名 的 长 度 降 低 为 320 位 ,这 就 减少 了 存储 空间 和 传输 带宽 。 
DSS 中 的 算法 称 为 DSA(Digtial Signature Algorithm ,数字 签名 算法 ) 。 
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DSA 的 描述 如 下 : 
(1) 密 钥 生成 : 选取 一 个 素数 p:2"! 二 p 二 27,L 为 64 的 倍数 。 
选取 p 一 1 的 一 个 素数 因子 gq:2'””<<g<2'”。 
取 g 王 co 5 mod p, 其 中 a 是 使 1 二 a 二 p 一 1 及 ae 5 mod pp 二 1 成 立 的 整数 。 随 
机 选取 整数 :0 二 zx 二 gq。 
计算 y==g” mod p。 
选取 安全 的 散 列 函数 hh: 对 消息 m,h(m) 是 160 位 的 消息 摘要 。 
(p,q,g) 是 公开 参数 ,T,y 分 别 是 签名 者 的 私 钥 和 公 钥 。 
(2) 签名 生成 : 对 消息 mEZ; ,Alice 随机 选取 一 个 整数 :1 三 k 二 gq, 并 计算 
r= (gt mod pp) modg 
s=k(h(m) 十 zr) modg 
(r,s) 是 Alice 对 消息 m 的 签名 。 将 (r,s) 发 送 给 Bob( 如 果 r=0 或 ;==0, 则 选取 新 的 
随机 数 &, 重 新 计算 出 rr 和 s。 一 般 来 说 ,r= 二 0 或 者 ;=0 的 出 现 概率 极 小 ) 。 
(3) 签名 验证 : Bob 收 到 (x,s) 后 , 先 检 验 0 二 rg,0 二 s 过 gq 是 否 成 立 。 如 果 有 一 个 不 
成 立 , 则 (r,s) 不 是 Alice 的 签名 。 如 果 两 者 成 立 , 则 用 Alice 的 公 钥 > 及 公开 信息 (p,g， 
g) ,计算 


1 


也 一 SS modg 
ui =h(m)w modg 
us =rw modg 
v= ((guy*) mod p) modg 
如 果 v= 二 7, 则 Bob 接受 (r,s) 是 Alice 对 消息 m 的 有 效 签名 。 否 则 ,拒绝 此 签名 。 
正确 性 证 明 
v= ((guy* modp) modg)= ((g"(g’)® mod p) modg 
= (gt™: mod p) mod dg 一 (get mod p) modg 
一 (gt mod bp) modg= (g* " mod p) modg 
= (gt modp) modg=r 

验证 过 程 写成 4 步 的 目的 是 清楚 地 表明 签名 验证 需要 求 逆 \、 求 积 (3 次 ) 求 宕 (2 次 ) 。 
在 g 阶 子 群 中 运算 的 好 处 是 签名 长 度 从 原来 的 2p 减少 到 2g。 

DSA 签名 方案 看 上 去 较为 复杂 ,这 里 给 出 一 个 图 示 便 于 从 全 局 上 理解 ( 见 图 3. 2, 签 
名 验证 的 函数 分 开 写 是 为 了 说 明 验 证 的 计算 量 ) 。 

例 3.3 取 g==101,p 二 78g 十 1 二 7879,3 是 Z js 中 的 一 个 本 原 元 , 取 g 一 38 mod 
7879 王 170, 显 然 g 是 1 模 户 的 9 次 根 。 假设 +=75, 那 么 y==g*= 二 170”mod 7879 一 4567 。 
假设 Alice 要 计算 对 消息 摘要 SHA1(m) 一 22 的 签名 。 

(1) 签名 过 程 : 计算 

Amod 101 一 50 mod 101 = 99 

r= (gt mod pp) mod g = (1750” mod 7879) mod 101 = 2518 mod 101 = 94 

s= (PCz) 十 mr)A = (22+75 xX 94)99 mod 101 = 97 

对 消息 摘要 22 的 签名 为 (94,97)。 
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由 =| SHAL | 四 
.4.8 -| 四 
一 “| 用 -| 过 
we 1 六 1 /6 
Dd k 9 Wd 
交 面相 /4 
| fw l 
= SHAl | mm) | 
”| PgY 
f3:w=s! modg 
fl:r=(gt mod p) modg f4:u=h(m)w modg 
f2:s= (hm)+ xr) mod gq f5: wrmw modg 
f6:v=((guy®) mod p) mod g 
图 3.2 DSA 数字 签名 算法 的 框图 
(2) 签名 验证 : 


5! 一 97- mod 101 = 25 
ui = 22 X 25 mod 101 = 45 
uz = 94 X25 mod 101 = 27 
v= (170' X 4567’ mod 7879) mod 101 = 2518 mod 101 = 94 一 > 
签名 有 效 。 
1. 安全 性 讨论 
(1) DSS 数字 签名 标准 的 安全 性 基于 两 个 离散 对 数 问题 : 一 是 基于 乘法 群 Z; 上 的 
离散 对 数 问题 ,二 是 基于 其 g 阶 子 群 上 的 离散 对 数 问题 。 已 知 的 最 好 的 攻击 是 亚 指数 
算法 。 
(2) DSS 并 未 很 明确 地 指明 & 值 选取 的 随机 性 ,其 实 & 的 选取 的 基本 要 求 和 
ElGamal 签名 方案 中 的 类 似 。 
(3) DSS 中 使 用 的 散 列 函 数 一 般 采用 安全 散 列 函数 标准 FIPS PUB180 中 公 
的 SHA1。 
2. 基于 离散 对 数 问题 的 签名 体制 EIGamal、Schnorr、DSA 的 比较 
从 方案 提出 的 时 间 来 看 ,ElGamal 签名 方案 是 最 先 提 出 的 ,是 后 两 种 方案 的 基础 。 第 
二 个 提出 的 方案 是 Schnorr 签名 方案 ,是 EIGamal 签名 方案 的 一 种 变 体 , 主 要 目的 是 缩短 
签名 长 度 。DSA 是 EIGamal 方案 的 另 一 种 变 体 ,并 吸收 了 Schnorr 签名 方案 的 设计 思 
想 , 如 缩短 签名 的 长 度 。 下 面具 体 介 绍 3 种 签名 方案 的 联系 与 区 别 。 
(1) 从 参数 的 初始 化 上 可 以 看 到 ,DSA 和 Schnorr 方 案 中 通过 引入 素数 g 并 选择 Z ; 
的 g 阶 子 群 的 生成 元 ,修改 了 ElGamal 方案 中 直接 选择 Z ;本身 的 生成 元 的 做 法 。 使 得 
方案 的 安全 性 依赖 于 两 个 不 同 的 但 又 相关 的 离散 对 数 问题 , 即 Z; 上 的 离散 对 数 问题 和 
Z; 上 的 离散 对 数 问题 。 这 两 种 方案 的 签名 长 度 较 EIGamal 方案 短 。 
(2) 签名 过 程 中 Schnorr 方案 所 用 的 散 列 函 数 不 只 是 消息 m 的 函数 ,还 是 + 的 函数 ， 
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这 一 点 与 另外 两 个 方案 不 同 。 

(3) 作为 标准 ,DSA 中 限制 了 g 的 长 度 为 160 位 ,p 的 长 度 为 512 一 1024 位 之 间 64 
的 任何 倍数 ,并 规定 了 散 列 算法 是 SHA1。 其 他 签名 方案 中 没有 这 些 具 体 的 限制 。 

由 于 签名 方程 有 区 别 , 故 验证 方程 也 有 差别 。 从 性 能 分 析 角 度 比较 3 种 方案 的 效率 ， 
性 能 指标 是 计算 量 和 签名 长 度 。 考 察 的 运算 主要 是 求 寡 (Ts) 乘积 (Tw)、 散 列 函数 求 值 
(Ta) ,而 计算 量 相 对 较 小 的 运算 如 模 加 、 模 减 , 求 逆 运 算 的 所 耗 时 间 忽 略 不 计 。 图 3. 3 给 
出 3 种 方案 的 总 结 图 。 效 率 比 较 结果 见 表 3. 1 。 


ElGamal | "<8 modp 


s<(hm)_xr)k! mod-D vrse" mod 


r=gt modp 
Schnorr | eh(m, 7) 
Ss<(xetk) mod 9 


r=<sg'y* mod 也 
esh(m, r') 


w<s! mod 9 

uh(mw mod 9 

wrw mod 9 

v<((g"y*) mod p) mod 9 
var 


r=(gt mod pjmod 9 
DSA | si(h(m)txr) mod 9 


图 3.3 3 种 离散 对 数 签名 方案 的 总 结 
表 3.1 3 种 离散 对 数 签名 方案 的 性 能 比较 


签名 体制 签 名 验 证 签名 长 度 

ElGamal Te 十 Ta 十 2Tw 3Te 十 Ta 十 Tu 12|1 十 12 一 1 
Schnorr Te 十 Ta 十 Tu 2Te 十 Ta 十 Tu al 十 |AO)1 
DSA Te 十 Ta 十 2Tw 2TE 十 Ta 十 3Tw 219| 


可 见 ,Schnorr 方案 的 签名 过 程 计算 量 相对 较 小 ,速度 较 快 ,尤其 有 些 计算 与 消息 无 
关 , 可 以 预先 完成 ,这 也 能 够 减 小 签名 的 时 间 。 对 于 验证 过 程 ,同样 是 Schnorr 方案 的 计 
算 量 相对 较 小 。 并 且 ,Schnorr 方案 的 签名 长 度 也 较 短 。 因 此 ,该 方案 较 适 合 在 智能 卡 等 
环境 应 用 。 其 他 两 种 方案 的 个 别 计算 ,如 求 随 机 数 的 军 7、 求 zr, 可 以 预先 计算 。 


3.4 Neberg-Rueppel 签名 


前 面 介绍 的 3 种 签名 方案 可 视 为 EIGamal 方案 及 其 变 体 ,它们 都 是 带 消息 的 签名 方 
案 , 即 消息 作为 签名 验证 方程 的 输入 。1994 年 ,Neberg 和 Rueppel 提出 一 种 具有 消息 恢 
复 功能 的 签名 方案 , 且 方 案 中 在 签名 产生 和 签名 验证 方程 中 无 须 求 道 。 验 证 者 可 以 从 签 
名 中 恢复 出 原始 消息 ,因此 签名 者 不 需要 将 被 签 消息 发 送 给 验证 者 。 

(1) 参数 产生 : p 是 一 个 大 素数 ;g 是 一 个 大 素数 ,gl (p 一 1)。g EZ ,随机 选取 , 且 
g' 三 1 mod p。 私 钥 为 XEZ; , 公 钥 为 y 二 g* mod p。 

(2) 签名 产生 : 计算 元 = 二 R(m), 这 里 R 是 一 个 单一 映射 , 且 容 易 求 逆 , 称 为 元 余 
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函数 。 
选择 一 个 随机 数 (0 二 kg) ,计算 
rocg*modp 
er modp 
sxze +k modg 
得 到 消息 m 的 签名 为 (e,s)。 
(3) 签名 验证 : 验证 是 否 0<e<p,0 三 ;<q。 计 算 
vgy “modp 
m ve modp 
如 果 mE Ms ,Mx 表示 RR 的 值 域 ,恢复 二 R71(m’)。 否 则 拒绝 该 签名 。 
正确 性 证 明 
m =wvemodp=gy emodp=g mod 访 一 ge mod 旋 一 讽 
元 余 函 数 可 取 尺 Gm) 二 (mm) , 即 简单 地 将 原 消息 复制 后 链接 。 
思考 3.5 该 方案 的 一 般 设计 机 理 。 
e 二 元 r mod 户 其 实 可 视 为 一 个 简单 的 加 密 , 密 钥 为 >。 签名 为 加 密 的 消息 e、 私 钥 zx 
以 及 随机 数 k 的 运算 组 成 。 验 证 签名 时 先 计算 密 钥 v( 二) ,然后 解密 来 恢复 消息 m 一 we 
mod p。 这 可 推广 为 任何 对 称 密 钥 算法 。 令 EE={E,:rE2Z,}) 为 加 密 变 换 的 集合 ,其 中 已, 
为 以 密 钥 EZ; 为 索引 的 加 密 变 换 , 且 是 从 Z; 到 Z; 的 双 射 。 对 任意 mE€ M, 选 择 随机 
整数 ,1 三 k 二 gq 一 1 ,计算 r= 二 g* mod p,e 二 E,(m),s 二 ze 十 k mod g, 则 (e,s) 是 消息 m 的 
签名 。 


the 
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4.1 基于 离散 对 数 的 一 般 签名 


总 结 第 3 章 介绍 的 4 种 签名 方式 ,可 以 得 出 基于 离散 对 数 问题 的 一 般 签 名 方案 。 

(1) 参数 产生 。 选 取 一 个 满足 安全 性 要 求 的 大 素数 p,q 为 p 一 1 的 大 素数 因子 。 选 
取 g€2), 且 g' 寺 1 mod p。 选 取 随机 数 xz(1 二 x 二 gq), 作 为 私 钥 。 计 算 y 三 g” mod p， 
(p,q,8，y) 为 公 钥 。 

(2) 签名 产生 。 计 算 hGm) ,hh 为 安全 的 散 列 函数 。 选 择 随机 数 k, 满 足 1k 二 gq, 计算 
7 三 g* mod p; 从 签名 方程 ak 三 6 十 cx mod gq 解 出 s。 这 里 (a,b,c) 有 许多 种 不 同 的 选择 方 
法 ,如 表 4.1 所 示 。 


表 4.1 (a,b,c) 的 可 能 置换 


+r 主 s m 土 mr 主 昧 1 
土 mr 士 ; 1 士 ms 士 sr 1 
土 mr 土 ms 1 


其 中 (Ca,6b,c) 可 取 表 中 某 一 行 的 3 个 值 的 任意 排列 。 
(3) 验证 过 程 。 设 验证 方程 为 Vrfy, 签 名 接收 者 收 到 消息 (r,s) 后 ,可 以 按照 以 下 验 
证 方程 验证 签名 的 有 效 性 : Vrfy(y,(r,s),m) 二 True 仿 "三 gty' mod p。 以 表 4. 1 的 第 
-行为 例 ,忽略 负 号 ,(a,5,c) 的 可 能 值 为 (r,s,m) 的 置换 , 故 为 31 二 6 种 情况 ,如 表 4. 2 
所 示 。 


表 4.2 签名 方程 (ak 寺 b 十 cx mod gq) 和 相应 的 验证 方程 


(a,b,c) 签名 方程 验证 方程 

(r,s»m) rk=s+mz mod g r=g’y” modp 
(rm»s) rk=m+sr mod g r=g"y’ modp 
(sor m) sk=r+mz mod g r=g’y" modp 
(ssm,r) sk=m+rr mod g r=g"y" modp 
(m,s,r) mk=s+rzr mod g ”三 g’y’ mod p 
(msrss) mk=r+sr mod 9 ”三 g’y’ mod p 
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如 果 考 虑 负 号 的 情况 , 则 为 6X4 一 24 种 情况 。 如 果 将 表 4. 1 所 列 的 5 种 情况 都 考虑 
进去 , 则 共有 24X5 二 120 种 签名 方程 , 即 120 种 签名 产生 的 方式 。 
有 几 点 需要 说 明 : 
(1) a,b,c 是 关于 自 变量 ,s,m 的 函数 , 且 自 变量 的 最 高 次 数 为 1 。 
(2) r,ssm 至 少 在 ,pc 中 出 现 一 次 。 
(3) 通用 签名 方程 ak 寺 6 十 cr mod gq 能 解 出 ;。 
思考 4.1 第 3 章 介绍 的 4 种 离散 对 数 签名 方案 对 应 的 通用 签名 方程 的 系数 。 
ElGamal 签名 为 (a,b,c) 二 (s,m, 一 r),DSA 签名 为 (a,b,c) 二 (sh(m),r),Schnorr 
签名 为 (a.6b,c) 二 (1, 一 s,h(msr)),Neberg-Rueppel 签名 为 (a,6,c)= 二 (1,s, 一 rR(m) mod p)。 
为 了 更 接近 DSA ,如 果 把 方程 r 三 g* mod p 改 为 r 三 (g* mod p) mod gq, 不 改变 签名 
方程 ak 夺 6 十 cx mod gq, 则 验证 方程 变 为 (r mod gq)* 二 g*y* mod p, 这 里 
w= amb modg 
us =a"™!c modg 
r= (gy"* mod p) modg 
这 样 ,又 可 以 构造 120 种 方案 。 更 多 分 析 参 见 相关 文献 了 。 


4.2 一 般 签名 方案 的 举例 


421 GOST 签 名 


该 算法 是 俄罗斯 的 数字 签名 标准 , 它 于 1995 年 启动 ,全 称 为 GOST R34. 10 一 94。 与 
美国 标准 DSA 算法 很 相似 ,与 之 相 比 ,GOST 算法 使 用 的 散 列 函 数 不 是 SHA1 ,而 是 俄 罗 
斯 自己 颁布 的 建立 在 GOST 28174 一 89 分 组 密码 算法 基础 上 的 GOST 34. 11 一 94。 
GOST 是 Gosudarsvennyi Standard 的 缩写 , 泛 指 一 系列 俄罗斯 密码 标准 。 

(1) 参数 产生 。 和 DSA 一 样 , 系 统 产生 全 局 参数 .用 户 公 钥 和 私 钥 。 是 一 个 大 素 
数 ,长 度 为 509 一 512 位 ;g 是 一 个 素数 , 且 是 p 一 1 的 因子 ,长 度 为 254 一 256 位 ,p,q 都 由 
标准 给 出 的 素数 产生 算法 生成 ;g 是 一 个 整数 ,满足 条 件 g 一 z 一 1,g?" 一 1 mod p。 用 户 私 
钥 为 zx,z<d; 用 户 公 钥 为 y,y 二 g* mod p。 

(2) 签名 过 程 。 

@ 计算 m 的 散 列 值 态 (Gm), 散 列 函数 由 标准 给 出 , 散 列 值 是 一 个 长 为 256 的 比特 串 。 
如 果 互 (m) 王 0, 那 么 重新 设置 散 列 值 为 HGm) 二 1。 

@ 选取 一 个 随机 数 ,0 二 k 二 gq。 

@ 计 算 r==(g* mod p) mod g, 如 果 +r= 二 0, 返 回回 重新 选取 此。 

@ 计算 s=(zr 十 kKH(m)) mod g: 如 果 s*=0. 返 回 @ 重 新 选取 AR。 

(r,s) 为 签名 。 


© P Horster, H Petersen, M Michels. Mete-ElGamal Signature Schemes. Proc. of ACM CCS94, pp. 96-107. 
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(3) 签名 验证 。 首 先 检 查 r 和 s 是 否 属于 [0,g], 若 不 是 , 则 (x,s) 不 是 有 效 签名 ;判断 
对 一 yo mod p 是 否 成 立 , 若 成 立 , 则 (r,s) 为 合法 签名 。 

思考 4.2 GOST 签名 对 应 4.1 节 中 离散 对 数 签名 方案 对 应 的 通用 签名 方程 。 

ak 夺 6b 十 cx mod d 的 系数 是 (a,b,c)= 二 (Hm),s, 一 r)。 
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该 方案 是 1992 年 日 本 的 Okamoto 提出 的 一 个 签名 方案 。 其 设计 的 扩展 思维 在 于 它 
在 Schnorr 签名 的 基础 上 选取 了 两 个 随机 整数 ,好 处 是 可 以 达到 可 证 明 安全 性 。 
(1) 参数 产生 。 系 统 参数 p 宇 2”, 大 素数 g| (一 1) 且 g 宇 2”; 产 生 两 个 与 g 同 长 度 
的 随机 整数 g1,gs。 用 户 的 私 钥 是 随机 产生 的 两 个 随机 整数 x1 ,zs 二 gq。 用 户 的 公 钥 是 
yy 一 81 1g82 mod p。 
(2) 签名 产生 。 对 于 消息 m, 签 名 者 选取 两 个 小 于 g 的 随机 数 ,eeEZ; ,计算 
r= ghig$ modp 
e=h(r,m) 
$1 二 +erimodg 
5s2 = ki 二 er: modg 
则 (ess ,ss) 作 为 m 的 签名 。 
(3) 验证 过 程 。 接 收 者 在 收 到 消息 m 和 签名 (e,5,ss) 后 ,计算 e = 二 h (gh gjy mod 
p,m) ,比较 e 二 e 是 否 成 立 , 若 成 立 , 则 签名 有 效 ,否则 无 效 。 
思考 4.3 如何 进行 正确 性 验证 ? 
8 mod p = 5 gh (ginga™) mod 旋 一 58 modp 


4.3 椭圆 曲线 上 离散 对 数 的 签名 
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同 加 密 方案 一 样 ,基于 有 限 域 离散 对 数 问题 的 签名 方案 也 可 以 移植 到 椭圆 曲线 上 。 
数字 签名 方案 DSA 在 椭圆 曲线 上 的 实现 称 为 ECDSA (Elliptic Curve Digtial Signature 
Algorithm) ,其 困难 性 是 基于 有 限 域 上 椭圆 曲线 有 理 点 群 上 离散 对 数 问题 的 困难 性 。 
ECDSA 已 于 1999 年 被 接受 为 ANSI X9. 62 标准 ,于 2000 年 被 接受 为 IEEE P1363 以 及 
FIPS186-2 标准 。 

(1) 参数 产生 : 设 GF(p) 为 有 限 域 .E 是 有 限 域 GF(p) 上 的 椭圆 曲线 。 选 择 玉 上 的 
一 点 GEE,G 的 阶 为 满足 安全 要 求 的 素数 nn, 即 naG 二 OC(O 为 无 限 远 点 )。 选 择 一 个 随机 
数 d,dE[1,n 一 1], 计 算 Q, 使 得 Q 二 dG, 那么 公 钥 为 (n,Q) , 私 钥 为 d。 

(2) 签名 过 程 : 

@ 随机 选择 整数 &,kE[1,n 一 1], 计 算 kG= (zx,y) ,rr 二 x mod n。 

@ 计算 e=h(m),h 为 安全 散 列 函数 。 
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@@ 计算 s=(e 十 rd)k"! mod nn。 如果 r=0 或 者 ;==0, 则 另 选 随机 数 , 重 新 执行 上 述 
过 程 。 消 息 m 的 签名 为 (x,s)。 


(3) 验证 过 程 : 
@ 计算 e=h(m)。 
@ 计算 
u= se modn 
v=s!rmodn 
(zy ) = uG+vQ 
r =x modn 
@ 如 果 r==x, 则 签名 有 效 ,否则 无 效 。 
正确 性 证 明 
由 于 
Q= dG 
s= (et+rd)k modn 
kG = (xz,y) 


u= se modn 
v= srmodn 
(z'sy) = uG++vQ 
故 有 三 (e 十 rd)s-! 硅 (s-!e 十 s-!1rd) 硅 (u 十 wd) mod n, 于 是 
(zy) =kRG=uG+wuG=uG+vQ= ry) ,rr =7r modn=zrmodn=r 
即 > 一 六 。 
例 4.1 假设 椭圆 曲线 为 Zs 上 的 y? 二 x 十 t+ 十 4, 参 数 分 别 为 一 23,G 一 (0,2) ,一 
29,d=9,Q=dG= (4,7)。 
(1) 签名 过 程 : Alice 签名 ,选取 随机 数 上 一 3, 假 设 hz) 一 4, 计 算 
(zy) 一 AG 一 3(0,2) 一 (11,9) 
r=Tmodn= 11l mod29=11 
s= (e+rd)k! modn= (4+1]lX9)3! mod 29= 15 
对 m 的 签名 为 (11,15)。 
(2) 签名 验证 : Bob 接收 到 签名 后 计算 
& 一 siemod7 一 15 2 X4mod29 一 8 
v= srmodn=15 1 X1l1mod29 一 22 
(xz,y) = uG+vQ = 8G+22Q = (11,9) 


"= od mod29= 1 = 


Bob 接受 签名 。 
思考 4.4 能 和 否 给 出 基于 椭圆 曲线 离散 对 数 问题 签名 的 一 般 版 本 ? 
ECDSA 与 基于 离散 对 数 的 一 般 签 名 的 主要 区 别 在 于 : 在 签名 阶段 ,使 用 的 是 
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kG 二 (x,y) 的 横 坐 标 作为 “承诺 ”。 签 名 方程 依然 是 形 如 ak 二 6 十 cx mod g, 这 里 群 的 阶 g 
改 为 n,z 为 私 钥 d,(a,6,c) 二 (s,h(m),r)。 验 证 方程 不 同 ,这 是 基于 的 困难 问题 不 同 导 
致 的 ,用 到 的 验证 方程 是 (x’,y ) 二 wuG 十 vQ, 即 这 里 用 到 的 是 椭圆 曲线 上 的 标量 乘 , 而 不 
是 前 面 用 到 的 有 限 域 上 的 指数 函数 。 

因此 ,一 般 地 ,对 于 签名 方程 ak 圭 5 十 cd mod n,《a,b,0) 为 (s,h(m),7) 的 置换 , 则 验 
证 方程 为 (zx,y )==(a-1bG 十 a-!cdG)= 二 (a-1bG 十 a-!cQ), 然 后 比较 横 坐 标 。 

对 于 ECDSA 而 言 ,(a,6,c) 二 (5,h(m),r)。 基 于 离散 对 数 或 其 他 困难 问题 的 签名 几 
平 可 以 类 比 地 “平移 ”到 椭圆 曲线 签名 体制 上 来 ,这 一 “平移 ”变换 值得 思考 和 体会 。 

安全 性 讨论 

(1) 离散 对 数 问题 攻击 。 即 通过 解 离散 对 数 问 题 获 得 签名 私 钥 。 

(2) 如 果 暴露 , 则 敌手 可 获得 签名 私 钥 ( 盖 :Cs 一 AGOz)) mod ma。 故 有 必须 保密 。 

(3) 如 果 重 复 使 用 用 于 mm ,ms 的 签名 , 则 由 于 相同 , 故 x 相同 ,有 

sik=hlm)+dr modn, ssk=h(m)+dr modn 

于 是 =(5 一 $2) 1 (hlm)—h(m2)) mod n, 

性 能 讨论 

椭圆 曲线 密码 具有 密 钥 短 , 存 储 空间 小 ,计算 速度 快 , 软 硬 件 实现 节省 资源 的 特点 。 
特别 适用 于 计算 能 力 和 存储 空间 有 限 、 带 宽 受 限 、 要 求 高 速 实现 的 场合 (如 智能 卡 、 传 感 器 
节点 的 应 用 中 ) 。 
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中 国 国 家 密码 管理 局 2010 年 12 月 17 日 发 布 SM2 椭圆 曲线 公 钥 密码 算法 ,该 算法 
包含 加 密 算法 和 签名 算法 。 下 面 给 出 一 个 SM2 签名 算法 的 简单 版 本 。 

(1) 参数 产生 : 设 GF(p) 为 有 限 域 ,E 是 有 限 域 GF(p) 上 的 椭圆 曲线 。 选 择 玉 上 的 
基点 GEE,G 的 阶 为 满足 安全 要 求 的 n, 即 nG 二 OCO 为 无 限 远 点 )。 选 择 一 个 随机 数 d， 
dE[1,n 一 1], 计 算 Q, 使 得 Q 二 dG, 那 么 公 钥 为 (n,Q) , 私 钥 为 d。 

(2) 签名 过 程 : 

@ 计算 e=h(m) ,h 为 安全 散 列 函 数 。 

@ 随机 选择 整数 有,kE[1,n 一 1], 计 算 kG=(zx,y) ,r= 二 (e 十 X) mod n。 

@ 计 算 s=( 十 d)7!1(k 一 rd) mod n。 

如 果 = 一 0 或 者 ;二 0, 则 另 选 随机 数 , 重 新 执行 上 述 过 程 。 消 息 m 的 签名 为 (r,s)。 

(3) 验证 过 程 : 

@ 计算 e=h(m)。 

Q@ 计算 

t= (r+s) modn 
(z'sy) = sG+tQ 
r= (e+zr) modn 


@ 如 果 r= , 则 签名 有 效 , 否 则 无 效 。 
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(z's,y)= sG+i1Q 一 SG 十 (Cr 十 s)dG = (s+rd++sd)G 
(s(l+d)+rd))G= ((k—rd)+rd)G 
= kG = (zx,y) 


正确 性 证 明 
由 于 


于 是 有 r= 。 
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任何 涉及 “承诺 (证 据 ) 一 挑战 一 应 答 ? 交 互 序列 的 身份 识别 方案 均 可 以 转化 为 签名 方 
案 , 即 用 证 据 x 和 要 签署 的 消息 m 的 连接 ,计算 其 单 向 散 列 函数 值 , 即 e==h(x | zz) ,该 值 
代替 验证 者 的 随机 挑战 e( 这 里 实质 上 起 挑战 者 的 作用 )。 将 交互 式 身份 识别 方案 转换 
为 非 交 互 数字 签名 方案 时 ,挑战 。 的 比特 大 小 通常 要 增加 到 能 排除 对 散 列 函 数 的 离线 
攻击 。 


5.1 Feige-Fiat-Shamir 签名 方案 


Feige-Fiat-Shamir(FFS) 方 案 根据 A，Fiat 和 A. Shamir 提出 的 Fiat-Shamir 身份 识 
别 协议 转换 而 来 。FFS 数字 签名 的 安全 性 基于 模 ? A 

方案 中 需要 使 用 单 向 散 列 函数 及 :10,1)" 一 {0,1)*, 其 中 是 给 定 的 正 整数 。 

方案 描述 如 下 : 

(1) 密 钥 生成 : 

@ 随机 产生 不 同 的 秘密 素数 p,q, 并 计算 n= pq。 

@ 选取 正 整数 &, 及 互 不 相同 的 随机 整数 sm ,so ，,… ,ss EZ» 

@@ 计算 六 =(3) -1 mod n,1<j<k( 即 有 ws?=1 mod n,1<j<<k)。 

A 的 公 钥 是 & 维 向 量 (w ,vs，… ,vi) 和 模 数 ;A 的 私 钥 是 k 维 向 量 (sss,… ,si)。 

(2) 签名 生成 : 实体 A 执行 如 下 操作 。 

@ 随机 选择 一 个 整数 7 ,1 二 rn 一 1。 

@ 计算 w=r? mod n。 

@ 计算 e=(ei ,es，…,e4)= 二 hm 上 wu), 其 中 e;E€10,1})。 


@ 计 算 :; = -Ts mod n。 
A 对 m 的 签名 是 (e。 Se 
(3) 验证 签名 : 实体 B 验证 A 对 m 的 签名 (e,s)。 
Q@ 获得 A 的 可 信 公 和 钥 (v ,wm ,…:,w) 和 7。 
@ 计 算 w = [wy mod z2: 以 及 e 二 hm | wu)。 


@ 当 且 仅 当 。 一 时 接受 徐 名 。 
正确 性 证 明 
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因此 ,wu =w, 于 是 e=e’。 

例 5.1 设 n=35,k 二 4, 用 户 A 的 4 个 私 钥 为 (sz,…,s) 一 (3,4,9,8), 公 钥 为 
(olyu Ue) =(3 ,4 ,9 ,8 *) mod35 一 (4,11,16,29) 。 

取 r=16, 计 算 w=r? mod 35 一 16: mod 35 一 11。 

为 了 简化 ,不 妨 设 e==hCm wu) 二 1011;, 即 1011 是 二 进 制 表 示 。 于 是 


大 
s=r|[][s;y modn=16X3X4X9 Xx8! mod35= 26 
d= 
得 到 的 签名 为 (e,s) 二 (1011, ,26)。 
验证 签名 如 下 : 


由 于 
4 
w=s|[[w modn=26x4 X11 X16 X29 mod 36 =11=u 


故 签名 有 效 。 

安全 性 讨论 

与 RSA 签名 方案 不 同 的 是 ,FFS 方案 中 所 有 实体 可 使 用 相同 的 整数 nw。 在 这 种 情形 
下 ,需要 一 个 可 信 第 三 方 产生 素数 p 和 g 以 及 每 个 实体 的 公 钥 和 私 钥 。 

性 能 讨论 

与 RSA 签名 方式 相 比 较 ,FFS 签名 方式 的 优势 是 速度 快 。 如 在 RSA 方案 中 ,指数 的 
比特 长 度 为 768, 则 生成 签名 平均 需要 768 次 模 平方 运算 和 384 次 模 乘 运算 。 而 FFS 方 
案 中 ,相同 的 模 数 ,随机 数 & 为 128, 则 签署 一 条 消息 平均 需要 64 次 模 乘 运算 , 少 于 RSA 
签名 所 需 工 作 量 的 6%。 但 是 ,如 果 公 钥 为 3, 则 RSA 签名 验证 需要 一 次 模 乘 运算 ,而 
FFS 签名 验证 平均 需要 64 次 模 乘 运算 。 因 此 ,对 于 需要 快速 签名 生成 旦 不 限制 密 钥 空 间 
存储 量 的 应 用 ,FFS 方案 可 能 比 RSA 签名 更 合适 。 


5.2 Guillou-Quisquater 签名 方案 


FFS 方案 是 基于 陷 门 单 向 函数 v 王 二 mod n,Guillou-Quisquater(GQ) 方 案 则 是 基于 
陷 门 单 向 函数 > 一 必 mod n。 

方案 描述 如 下 : 

(1) 密 钥 生成 。 

@ 随机 选取 两 个 不 同 的 大 素数 p,qg, 计 算 ”一 pg。 

@ 选择 整数 eE {1,2,…,n 一 1) ,使 得 gcd(e,(p 一 1)(g 一 1))==1。 

@ 随机 选择 整数 vEZ,: ,gcd(v,n) 二 1(v 可 视 为 A 的 身份 识别 号 ,如 身份 证 号 等 ) 。 

@ 确定 整数 a€EZ,, 满 足 va 三 1 mod n。 

于 是 公 钥 为 (n,e,v), 私 钥 为 a。 

(2) 签名 产生 。 实 体 A 执行 如 下 过 程 : 

@ 随机 选择 一 个 整数 ~: 计 算 一 mod n。 

@ 计算 /一 ACzz | z) 。 
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@@ 计算 > 一 ro mod n。 

得 到 对 消息 m 的 签名 (s,1)。 

(3) 签名 验证 : 验证 A 对 m 的 签名 (s,1) ,B 执行 如 下 操作 : 

Q@ 获得 A 的 可 信 公 和 钥 (n,e,v)。 

@ 计算 w=s*v' mod n, 以 及 1 =hCm | 上 wu)。 

@ 当 且 仅 当 /=7 时 接受 签名 。 

正确 性 证 明 

由 于 w 寺 s'v! 圭 (ran) vw! 三 rr (va)! 夺 rr 三 wu mod n, 因 此 w=w , 故 1=1'。 

思考 5.1 上 述 GQ 签名 方案 能 否 变换 为 带 消 息 恢复 的 签名 方案 ? 

GQ 签名 方案 可 以 变换 为 带 消息 恢复 的 签名 方案 。 方 法 是 改变 1 二 mr mod n。 其 他 


不 变 。 这 样 ,在 验证 时 有 xs 三 roadu' 三 = mod72。 消 息 妈 可 由 Zr modn 恢复。 


总 结 FFS 方案 和 GQ 方案 ,会 发 现 一 个 一 般 规律 , 即 两 者 的 设计 方法 可 以 进行 类 比 ， 


见 表 5.1。 
表 5.1 FFS 和 GQ 方案 的 类 比 
设计 步骤 FFS GQ 
us 一 1 mod n,1 二 jk(s; 为 私 | va 二 1 mod n(a 为 私 钥 ,v 
1 密 铀 产生 (利用 陷 门 单 向 函数 》 。 | 钢 '。 为 公 名 基于 Rabin 问题 ) | 为 公 钢 基于 RSA 问题) 
2. ple et tit ee ee 
3, et e 一 (elyez ,°° 01) =h(m | u) l=h(m| az) 
4 签名 生成 (利用 已 承诺 的 随机 值 "| 。_ ,人 mod es 
“掩盖 ” 私 钥 , 证 明 对 私 钥 的 拥有 ) 所 
5. 签名 验证 (根据 公 铀 和 私 钥 关 系 代 | _ mod n ee 
入 ,承诺 与 随机 值 之 间 的 关系 ) pi ” 


思考 5.2 在 11.4 节 中 介绍 的 Schnorr 身份 识别 协议 和 11. 5 节 中 的 Okamoto 身份 


识别 协议 如 何 转化 为 签名 方案 ? 


转化 为 Schnorr 签名 方案 的 方法 见 3.2 节 。 
转化 为 Okamoto 签名 方案 的 方法 见 4. 2.2 节 。 


5.3 知识 签名 


建议 本 节 与 13. 2 节 的 零 知 识 证 明 协议 结合 学 习 。 零 知识 证 明 是 指示 者 向 验证 者 证 


明 他 知道 某 个 秘密 知识 ,而 没有 向 验证 者 泄露 有 关 秘 密 知识 的 任何 有 用 信息 。 交 互 零 知 
识 证 明 可 以 通过 散 列 函 数 转 换 成 非 交 互 证 明 或 签名 。 知 识 签名 的 概念 是 Camenisch 和 
Stadler 于 1997 年 首次 提出 的 。 知 识 签名 是 由 签名 者 将 自己 知道 某 知 识 ( 私 钥 ) 的 信息 附 
在 消息 的 签名 之 上 ,但 不 泄露 任何 相关 知识 的 内 容 。 知 识 签名 的 本 质 是 一 种 非 交 互 式 的 
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零 知识 证 明 。 这 里 简单 介绍 几 种 知识 签名 。 假 设 有 安全 散 列 函数 : H:{0,1)* 一 {0,1)*。 

定义 5.1 满足 等 式 c 二 Hlm|y 上 gg'y ) 的 数组 (c,s), 即 为 关于 消息 mm 的 ,y 以 
8 为 底 的 离散 对 数 的 知识 签名 ,表示 为 

SPK{a:y = g°}(m) 

其 中 表示 签名 者 持 有 的 秘密 。 

这 样 一 个 知识 签名 (c,s) 只 有 在 知道 秘密 zx 一 logsy 的 情况 下 才能 生成 ,当知 道 x 时 ， 
签名 者 随机 选取 rEZ; ,然后 计算 

c= H(ml y 中 & | g),， s=r—cr modn 

得 到 签名 (c,s) ,能 生成 这 样 一 个 签名 说 明了 签名 者 知道 y 以 g 为 底 的 离散 对 数 工 ,不 知 
道 xz 的 情况 下 任何 人 想 伪造 一 个 签名 都 必须 能 够 解决 离散 对 数 问题 ,所 以 这 样 一 个 知识 
签名 可 以 证 明 > 有 > 一 g 的 形式 ,并且 签名 者 知道 关于 y 一 8 的 秘密 值 x。 

定义 5.2 满足 等 式 c=HOm|y gh sgapnsy) 的 数组 (clsiyss), 即 为 关于 消息 
罗 的 ,y 以 g,h 为 底 的 离散 对 数 的 知识 签名 ,表示 为 

SPK{(a,B):y = gh?})(m) 

只 有 在 知道 满足 等 式 y= 二 gnh* 的 秘密 (zi ,xs) 时 才能 生成 一 个 知识 签名 (c,s ,ss)， 
当知 道 Czi ,zz) 的 值 时 ,签名 者 随机 选取 ,rs EZ ,然后 计算 

c= Hlml|yllgllhlgrhs), so=n—crmodn, ss =r—cr modn 
得 到 签名 (c ,s,ss) ,由 于 任何 不 知道 (zi ,zxs) 的 人 都 无 法 生成 签名 (c,si ,ss), 所 以 这 样 一 
个 签名 可 以 证 明 > 有 着 y 二 gnh* 这 样 的 形式 ,并 且 签 名 者 知道 秘密 值 (zx ,x ) 。 

回顾 前 面 介绍 的 基于 离散 对 数 的 数字 签名 ,定义 5. 1 是 Schnorr 签名 的 一 般 化 , 定 
义 5.2 是 Okamoto 签名 的 一 般 化 。 


本 部 分 介绍 了 数字 签名 的 基础 知识 。 涵 盖 的 主要 知识 点 如 下 所 示 : 


一 般 模型 


基于 数学 难题 的 分 类 
he 
基于 不 同 的 加 密 方法 的 
分 类 1 基于 签名 用 户 的 分 类 
概述 基于 签名 人 对 消息 是 否 可 见 的 分 类 
基于 签名 人 是 否 受 别 人 委托 签名 的 分 类 
基于 签名 是 否 有 仲裁 的 分 类 


基于 陷 门 单 向 函数 
{i 
基于 可 交换 加 密 函 数 


设计 原理 

安全 性 

基于 单 向 函数 构造 Lamport 

Lamport 一 次 签名 基于 对 称 加 窜 构 造 Rabin 
i 4 个 经 典 方案 Rabin 数 字 签 名 


i RSA 数 字 签 名 
主要 知识 太 ElGamal 签 名 体制 

基于 离散 Schnorr 等 名 体制 本 

对 数 的 签名 [ | 和 

Neberg-Rueppel 签 名 一 一 消息 恢复 

椭圆 曲线 / ECDSA 知识 签名 
数字 签名 \ SM2 

基于 身份 识别 FFS 签 名 

协议 的 签名 \ Guillou-Quisquater 签 名 二 


本 部 分 的 重点 是 基于 离散 对 数 的 签名 和 椭圆 曲线 数字 签名 ,难点 是 基于 身份 识别 协 
议 的 签名 ,特别 是 知识 签名 。 


扩展 阅读 建议 


L. Lamport 签名 以 及 其 改进 版 本 Merkle 签名 (又 叫 Merkle 树 ) : 

L. Lamport. Constructing digital signatures from a one-way function. Technical 
Report SRICSL-98, SRI International Computer Science Laboratory, Oct. 1979. 

Ralph Merkle. A certified digital signature. In Gilles Brassard, ed., Advances in 
Cryptology -- CRYPTO ‘89, vol. 435 of Lecture Notes in Computer Science, pp. 218- 
238, Spring Verlag, 1990. 

Rabin 签名 : 

Michael O. Rabin. Digitalized signatures as intractable as factorization. Technical 
Report MIT/LCS/TR-212, MIT Laboratory for Computer Science, Jan. 1979. 

GMR 签名 : 

Shafi Goldwasser, Silvio Micali, Ronald Rivest. A digital signature scheme secure 
against adaptive chosen-message attacks. SIAM Journal on Computing, 1988, 17(2): 
281-308. 

ElGamal 系列 签名 : 

T. ElGamal. A public key cryptosystem and a signature scheme based on discrete 
logarithms. IEEE Trans information Theory, 1985, 31(4) : 469-472. 

K. Nyberg, R. A. Rueppel. Mess 
discrete logarithm problem. Designs, Codes and Cryptography, 1996, 7(1-2): 61-81. 


ge recovery for signature schemes based on the 


Claus-Peter Schnorr. Efficient signature generation by Smart Cards. Journal of 
Cryptology 1991, 4(3) : 161-174. 


第 2 部 分 
高 级 数字 签名 


在 现实 生活 中 ,数字 签名 的 应 用 领域 十 分 广泛 ,因此 能 适应 某 些 特殊 要 求 的 数字 签名 
技术 也 应 运 而 生 。 如 为 了 保护 消息 拥有 者 的 隐私 ,要 求 签 名 人 不 能 看 见 所 签 的 消息 ,于 是 
就 有 了 育 签 名 的 产生 ;签名 人 委托 另 一 个 人 代表 他 签名 ,于 是 就 有 了 代理 签名 的 概念 等 。 
由 于 实际 应 用 的 需求 ,各 种 特殊 的 数字 签名 研究 一 直 是 数字 签名 领域 非常 活跃 的 部 分 ,并 
产生 了 很 多 分 支 。 本 部 分 将 分 别 介绍 几 种 特殊 数字 签名 。 

育 签 名 (blind signature) : 一 种 让 签名 人 不 知道 所 签名 文件 内 容 的 签名 形式 。 它 能 
使 所 签名 文件 的 内 容 不 被 签名 者 获知 ,保护 了 个 人 的 隐私 。 讶 签名 这 一 性 质 能 结合 到 其 
他 签名 方式 中 ,形成 新 的 签名 方式 。 如 群 盲 签名 、 讶 代理 签名 代理 讶 签名 、 盲 环 签名 等 。 

代理 签名 (proxy signature): 将 签名 权 委 托 给 代理 签名 者 ,由 他 去 代替 自己 行使 签 
名 。 代 理 签 名 在 电子 商务 中 有 着 广泛 的 应 用 ,也 是 与 其 他 签名 技术 结合 较 多 的 一 种 签名 
形式 。 

多 重 签名 (multiple signature): 有 多 人 参与 对 同一 文件 进行 分 别 签名 。 可 与 其 他 方 
案 结合 派生 出 代理 多 重 签名 、 多 重 讶 签名 等 。 

环 签 名 (ring signature) : 一 种 与 群 签名 有 许多 相似 处 的 签名 形式 , 它 的 签名 者 身份 
是 不 可 追踪 的 ,具有 完全 匿名 性 。 

此 外 ,还 有 失败 -停止 签名 (fail-stop signature)、 不 可 否认 签名 (undeniable signature) 
等 分 支 。 


盲 签 名 


前 面 提 到 的 签名 都 是 自己 给 要 签署 的 内 容 进行 签名 。 下 面 看 一 个 场景 : 如 果 你 想 让 
别人 为 你 签署 一 份 文件 ,但 你 又 不 想 让 别人 看 到 这 份 文件 ,该 如 何 实现 ? 例如 ,你 想 让 公 
证 员 签 一 个 文件 ,公证 员 也 不 关心 文件 的 内 容 , 只 是 证 明 在 某 一 个 时 刻 公 证 过 这 个 文件 。 


6.1 盲 签名 概念 的 提出 与 Chaum 盲 签名 


盲 签 名 (blind signature) 的 概念 是 1982 年 D. Chaum 在 Cypto’82 上 首次 提出 的 一 
种 特殊 的 数字 签名 。D. Chaum 形象 地 把 盲 签名 比喻 成 在 信封 上 签名 ,要 签名 的 数据 好 
比 书信 的 内 容 ,为 了 不 使 签名 者 看 到 数据 ,给 信纸 加 一 个 具有 复写 能 力 的 信封 。 这 一 过 程 
称 为 盲 化 过 程 。 经 过 盲 化 的 文件 ,别人 是 不 能 读 的 。 在 盲 化 后 的 文件 上 签名 ,好 比 使 用 硬 
笔 在 信封 上 签名 。 虽 然 只 是 在 信封 上 签名 ,但 因 信封 具有 复写 能 力 ,所 以 签名 也 会 签到 信 
封 内 的 信纸 上 。 

盲 签 名 是 公 钥 密码 学 中 的 一 个 重要 的 协议 ,可 应 用 在 电子 货币 中 保护 顾客 的 消费 隐 
私 以 及 在 电子 选举 中 对 投票 人 的 身份 进行 保密 (匿名 性 )。 例 如 ,在 电子 货币 的 应 用 场景 
中 ,顾客 A 得 到 银行 B 对 钱 款 m 的 盲 签名 后 ,自己 算出 银行 的 真正 签名 Ss (m); 在 支付 
时 提交 mm 和 Ss(m) ;银行 能 验证 Sa(m) 是 否 为 m 的 合法 签名 ,但 不 知道 是 谁 的 消费 ,从 而 
保护 了 消费 者 的 隐私 。 

盲 签名 方案 中 涉及 两 个 主体 : 签名 者 和 使 用 者 。 假 设 使 用 者 有 一 条 秘密 消息 需要 签 
名 者 签名 ,但 又 不 想 让 签名 者 知道 该 消息 的 内 容 。 按 照 Chaum 定义 的 盲 签名 协议 ,一 个 
育 签 名 应 该 满足 以 下 3 个 性 质 : 

(1) 盲 性 (blindness) : 签名 者 不 知道 他 所 签 消息 的 内 容 。 

(2) 不 可 追踪 性 Cuntraceability) : 在 签名 公开 后 ,签名 者 无 法 将 他 所 签 的 消息 与 签名 
使 用 者 联系 起 来 。 

(3) 无 关 性 (unlinkability) : 同一 使 用 者 的 两 条 不 同 消息 的 签名 不 能 建立 起 联系 。 

Chaum 盲 签名 的 设计 思想 是 : 使 用 者 先 随机 选 一 个 或 多 个 整数 作为 置 盲 因子 ,将 他 
的 秘密 消息 m 盲 化 成 消息 m' 青 发 送 给 签名 者 。 签 名 者 用 其 私 钥 对 消息 m 进行 签名 。 使 
用 者 将 签名 者 收 到 的 签名 脱 言 ,并 对 此 签名 用 签名 者 的 公 钥 进行 验证 。 如 验证 正确 , 则 使 
用 者 就 得 到 m 的 一 个 有 效 签名 , 见 图 6. 1 。 

下 面 给 出 基于 RSA 公 钥 密码 系统 的 Chaum 盲 签名 。A 为 签名 者 ,B 为 使 用 者 。 
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( 宦 签名 ) 使 用 者 ( 宦 答 名) 签名 者 
| 
讶 化 函数 8 | 全 | 。 签名 函数 S( 保 密 的 ) 
S(B(m)) | 
脱 言 函数 8 上 ~ 
消息 m 的 签名 : 
S(m)=B'(S(B(m)) 
验证 :SCS(m)=m | | | 的 首 函数 S( 公 开 的 ) 
是 否 成 立 全 


图 6.1 Chaum 盲 签名 方案 的 设计 思路 


(1) 密 钥 生成 。 选 取 素数 p,g, 令 n= 二 pXg, 随 机 选取 e:1<e<$(n) 目 gcd(e,z) 一 1， 
计算 d:1 一 一 %(z) ,使 得 dXe 二 1 mod $(n)。 将 (x,e) 作 为 A 的 公 钥 公开 ,(p,q,d) 或 者 
Qn,$(n),d) 作 为 A 的 私 钥 保密 。 

(2) 盲 签 名 生成 : 

@OD 设 B 有 消息 mmEZ,,B 随 机 选择 :1 一 < 一) 及 gcd(k,n) 二 1, 置 盲 消息 x: 元 一 
mk* mod n, 将 元 发 送 给 A。 

@ A 对 消息 元 进行 签名 : 5 二 元 * mod n, 将 5 发 送 给 B。 

@ B 进行 脱 讶 计算: *=A 5 mod n, 得 到 A 对 消息 m 的 签名 s。 

(3) 盲 签名 验证 : 

B 验证 关 =* mod 2。 若 成 立 , 则 接受 签名 ,否则 拒绝 。 

容易 验证 正确 性 。 可 见 ,Chaum 盲 签名 需要 两 个 基本 构件 。 

(1) 签名 者 A 知道 的 讶 化 函数 B 以 及 脱 盲 函 数 B 。B 与 B' 必 须 满足 B'(S(B(m)) 一 
SC(m), 

(2) 签名 者 B 的 数字 签名 方案 Sa 。 


6.2 言 签 名 方案 举例 


621 基于 Sochmorr 签名 构造 的 盲 签名 


1992 年 ,Okamoto 在 Crypto'"92 上 基于 Schnorr 签名 体制 构造 了 第 一 种 基于 离散 对 
手 问题 的 讶 签名 方案 02。 使 用 者 B 让 签名 者 A 对 m 进行 盲 签 名 ,过程 如 下 : 

(1) 参数 生成 : 

签名 者 A 随机 选取 两 个 足够 大 的 素数 p,q. 使 得 Z ; 和 Z % 上 的 离散 对 数 问题 都 是 困 


加 T. Okamoto. Provable Secure and Practical Identification Schemes and corresponding Digtial Signature 
Schemes， Crypto 92，31-52. 
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难 的 。 例 如 p 三 2'”, 且 p,g 满足 gl1(p 一 1),g€EZ; 满足 g 的 阶 为 gq, 即 gr 二 1 mod 户 。 秘 
密 选 取 私 钥 zxEZ， ,计算 : y=g” mod p,(p,q,g，,y) 作 为 公 钥 。 另外,h:10,1}" 一 Zi 为 
一 个 安全 散 列 函 数 。 
(2) 盲 签名 生成 : 
QO@ 签名 者 A 随机 选择 &EZ，; ,计算 7 二 g* mod p ,将 7 发 送 给 消息 拥有 者 B。 
@ B 接收 到 7 后 , 任 取 随机 数 a,B8EZs; ,计算 
r=rgysmodp 
e=h(rlm) 
EE=e—PBPmodg 
@ A 接 到 e。 后 ,计算 签名 5 二 k 一 ex mod g, 将 5 发 送 给 B。 
@ B 接收 到 5 后 ,进行 脱 讶 计算: s 二 5 十 a mod g, 则 (e,s) 为 消息 m 的 育 签 名 。 
(3) 讶 签名 验证 : 
计算 :一 ge mod p, 若 h(t m) 二 e 成 立 , 则 (e,s) 即 为 消息 mm 的 有 效 育 签名 ,否则 是 
无 效 的 签名 。 
正确 性 证 明 
t=g'y modp= gy modp= gr “ry modp 


二 gtotertpr mod p = ng°ye modp=r 
622 基于 Neberg Rueppa 签名 构造 的 盲 签名 


1994 年 Camenisch 等 提出 基于 Neberg-Rueppel 签名 的 盲 签名 方案 。 其 特点 是 带 有 
消息 恢复 功能 的 讶 签名。 使 用 者 为 B, 让 签名 者 为 A 对 消息 m 进行 盲 签名 。 执 行 以 下 
过 程 : 

(1) 密 钥 生成 (与 基于 Schnorr 签名 的 盲 签 名 相同 ) : 

签名 者 A 随机 选取 两 个 足够 大 的 素数 p,g, 使 得 Z ; 和 Z ; 上 的 离散 对 数 问题 都 是 困 
难 的 ,例如 p 三 2”, 且 p,g 满足 gl(p 一 1),gEZ; 满 足 g 的 阶 为 gq, 即 g* 二 1 mod p。 秘 
密 选 取 私 钥 zxEZs ,计算 y==g”mod p,(p,q,g,y) 作 为 公 钥 。 

(2) 盲 签名 生成 : 

@ 签名 者 A 随机 选择 &EZ; ,计算 : 7 二 g* mod p, 把 7 发 送 给 B。 

Q@ B 接收 到 A 后 , 任 取 随 机 数 a,BEZs ,计算 

r=mg™” modp 
元 一 rp modd 

发 送 元 给 A。 

@ A 接收 到 元 后 ,利用 自己 的 私 钥 z 计 算 5==k 十 元 x mod g, 将 5 发 送 给 B。 

@ B 接收 到 5 后 ,计算 s=5B 十 a mod g(r,s) 即 为 消息 m 的 盲 签名 。 

(3) 消息 恢复 和 盲 签名 验证 : 

接收 者 计算 m= 二 g ‘yr mod p 恢复 消息 。 检 查 元 余 度 是 否 符合 约定 ,符合 约定 则 签 
名 有 效 。 
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正确 性 证 明 
s= B+amodg= (k++mr)B+a modg 


—(ktmr)p-a,™ 


gyr=g g™mg remodp=g™ig™m modp 


(一 而 8 站 


=g m=m modp 


623 基于 日 Gamal 签名 构造 的 盲 签名 


1994 年 Camenisch 等 提出 另 一 个 基于 ElGamal 签名 构造 的 盲 签名。 使 用 者 B 让 签 
名 者 A 对 消息 m 进行 盲 签 名 ,执行 以 下 过 程 : 
(1) 密 钥 生成 : (与 基于 Schnorr 签名 的 盲 签名 相同 ) : 
签名 者 A 随机 选取 两 个 足够 大 的 素数 p,g, 使 得 Z ; 和 Z 上 的 离散 对 数 问题 都 是 困 
难 的 。 例 如 p 宇 2%”, 且 p,q 满足 gq|(p 一 1),gE€Z; 满 足 g 的 阶 为 gq, 即 g? 一 1 mod p。 秘 
密 选 取 私 钥 zxEZ; ,计算 > 一 gr mod p,(p,q,g，y) 作 为 公 钥 。 
(2) 盲 签 名 生成 : 
@ 签名 者 A 随机 选择 &AEZ; ,计算 7 二 g* mod p, 把 7 发 送 给 B。 
@ 使 用 者 B 随机 选择 两 个 数 ,8EZ,，; ,将 消息 置 盲 ( 盲 化 ) : 
r=grimodp 
元 二 Bmrr” modg 
这 里 ,把 元 发 送 给 A。 
@ A 利用 自己 的 私 钥 计 算 签 名 : 5= (xr 十 k 元 ) mod g, 并 把 5 发 送 给 B。 
Q@ B 进行 脱 盲 计算: 5s 二 (5r7 1! 十 am) mod g, 这 样 (r,s) 就 是 对 消息 m 的 一 个 育 


签名 。 
(3) 讶 签名 验证 : 
签名 验证 过 程 为 g' 三 yr”mod p。 若 成 立 , 则 接受 签名 ,否则 拒绝 。 验 证 正确 性 。 
因为 
5 二 (rr an) (rr ki) rr tam 
二 zr+hkirr ton tam+t+hBm modg 
故 


8 三 he modg = ii = y'(g' (ge ))™ 
=y (gr)"=yr"modp 
思考 6.1 一 个 很 自然 的 问题 就 是 该 方案 是 如 何 设 计 的 (设计 原理 )。 
答案 见 6.2.4 节 。 
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参数 产生 方法 类 似 , 重 点 讨论 签名 方案 和 脱 盲 方程 的 设计 方法 。 

设 签名 者 A 对 盲 消息 的 签名 方程 的 模型 为 ak 二 5 十 cx mod g, 其 中 (a’,b',c ) 为 
( 士 7, 士 元 , 士 了 ) 的 某 一 置换 或 线性 组 合 。 

使 用 者 B 脱 盲 后 的 签名 变量 ;,r 也 必须 满足 相应 的 签名 方程 a 二 5 十 cx mod g, 其 中 
(asb,0) 为 ( 土 r, 土 m, 士 ;) 的 线性 组 合 。 


第 6 章 ， 言 等 名 


就 6.2.3 节 中 的 例子 (基于 ElGamal 签名 构造 的 盲 签名) 而 言 ,签名 者 A 的 盲 签 名 方 
程 为 5 二 (zr 十 k 元 ) mod g, 如 果 要 求 脱 盲 后 的 签名 方程 为 * 一 rz 十 lz mod g, 又 因为 一 
gr mod p, 即 r= 二 g*7? mod pp 一 g"' 轨 mod p, 即 有 上 二 a 十 kB mod g( 因 为 在 非 育 签 名 中 有 
7r 一 入 mod gq) ,于 是 得 到 方程 组 : 


5 一 (Zr 十 & 均 ) modg 《1 
S 一 并 十 Am modg (2) 
k=at+RkB modg (3) 


解 此 方程 组 ,由 式 (2) 得 z==r 1(s 一 km) ,代入 到 式 (1) 得 (为 简洁 ,省 去 写 出 mod g) 
万 了 (一 Am ) 十 人 雹 一 5 一 0 
将 式 (3) 代 和 人 上 式 : 
7r(5 一 (a 十 好 )mz) 十 必 元 一 5 一 0 
该 式 为 关于 的 恒等式 ,所 以 有 
万 (5 一 az ) 一 一 0 
一 rr 一 pm 十 元 一 0 
于 是 
s= srr i +am modg 
元 一 Boz7r modg 
这 就 是 方案 中 所 使 用 的 脱 盲 方程 和 消息 育 化 方法 。 
以 此 类 推 ,可 以 设计 18 种 广义 EIGamal 讶 签名 ,有 兴趣 的 读者 可 参阅 相关 文献 。 


6.3” 盲 签名 的 应 用 


盲 签名 广泛 应 用 在 电子 选举 和 电子 货币 中 。 这 里 以 电子 选举 为 例 说 明 其 如 何 应 用 。 

设 A 是 选举 管理 中 心 ,B 是 选民 ,v 是 选票 ,IDs 是 选民 B 的 身份 信息 。B 不 想 让 A 
知道 其 选票 的 内 容 。 但 是 ,任何 一 张 选票 产生 后 ,必须 先 经 过 管理 中 心 对 投票 的 选民 身份 
进行 确认 ,然后 对 选票 进行 签名 后 才能 生效 。 因 此 ,选民 B 填 好 选票 v 后 , 先 对 选票 v 用 
育 变 换 Blind 进行 盲 化 ,得 到 Blind(v) ,然后 对 Blind(w) 签 名 ,得 到 ;二 Sigs (Blind(v)), 青 
将 (IDs ,Blind(v) ,s) 发 送 给 A。 

选举 管理 中 心 A 收 到 (IDs ,Blind(v) ,s) 后 ,执行 如 下 步 又 : 

(1) 检查 B 有 无 权利 参加 选举 。 若 B 无 权 参 加 选举 , 则 将 B 的 选票 Blind(v) 作 废 , 不 
予 答 名。 否则 进行 下 一 步 。 

(2) 检查 B 是 否 已 经 参加 过 投票 , 即 检 查 Blind(w) 是 否 为 重复 投票 。 若 已 投 过 票 , 则 
将 也 的 选票 作废 ,不 子 签 名 。 否 则 ,进行 下 一 步 。 

(3) 检测 * 是 否 是 选票 Blind(v) 的 有 效 签名 。 若 不 是 , 则 将 B 的 选票 Blind(v) 作 废 ， 
不 予 签 名 。 否 则 ,对 B 的 选票 签名 ,得 到 s 一 Siga (Blind(v)), 并 把 发送 给 选民 B。 

最 后 ,选举 管理 中 心 A 宣布 对 选票 签名 的 总 人 数 , 并 公布 (IDs ,Blind(v) ,s) 的 列表 。 

选民 B 获 得 s 后 ,验证 A 的 签名 是 否 有 效 。 若 无 效 ,要 重新 向 A 申请 对 自己 的 选票 
进行 签名 。 如 果 A 的 签名 有 效 , 则 B 将 从 s 中 获得 A 对 的 签名 s”, 然 后 匿名 地 将 (#,v) 
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发 送 给 计 票 站 。 

例 6.1 一 个 基于 RSA 的 盲 签 名 的 简单 电子 投票 系统 。 

假设 A 和 B 采 用 的 都 是 基于 RSA 的 签名 算法 ,A 的 公 钥 为 es, 私 钥 为 da , 模 数 为 
na;B 的 公 钥 为 ea, 私 钥 为 ds , 模 数 为 ns ; 设 h 是 一 个 安全 散 列 算法 。B 可 向 A 提出 申请 ， 
A 先 检 查 B 的 选民 身份 是 否 合格 ,如 合格 , 则 发 送 给 B 一 个 随机 数 0 二 rs 二 min(na ,ns)。 
B 收 到 参数 rs 后 ,再 选择 一 个 随机 数 r 二 min(na ,zs) ,如 下 产生 Blind(v) 和 ;: 

Blind(v) = h(v)rs mod ng»s = (Blind(v))’srs mod ns 
A 收 到 B 的 数据 (IDs ,Blind(v) ,s) 后 ,验证 下 式 是 否 成 立 : 
Blind(v) = (s/rs)®s mod na 
如 果 成 立 , 则 计算 签名 
s’ = Blind(v) mod na 
B 收 到 s 后 ,容易 验证 签名 是 否 有 效 。 然 后 计算 
y=s /r= hv modna 
这 是 因为 
s’ 一 (hCGo)rA)aA = h(v) iar mod na 

最 后 ,B 将 (%,u) 匿 名 发 送 给 计 票 站 。 

这 个 过 程 中 ,A 虽然 对 Au) 做 了 签名 ,但 A 并 不 知道 vv 的 内 容 ,也 不 知道 签名 。 方 
案 中 加 上 随机 数 x, 是 为 了 即使 在 投票 结束 后 ,A 也 无 法 通过 比较 v 和 Blind(v) 来 获知 v 
的 投票 者 B 的 身份 。 而 增加 随机 数 rs ,是 为 了 防止 重 放 B 过 去 的 投票 ,致使 B 无 法 参与 
投票 。 
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代理 签名 


先 看 一 个 场景 ,公司 的 经 理 外 出 度假 期 间 , 让 他 的 秘书 代理 公司 的 业务 ,包括 以 自己 
的 名 义 在 一 些 文件 上 签名 。 通 常 是 经 理 将 自己 的 名 章 交 给 秘书 ,让 秘书 代表 自己 盖 章 , 即 
将 自己 的 签名 权 委 托 给 代理 人 。 

数字 签名 权利 的 委托 (delegation of the digital signing power) 是 数字 化 的 信息 社会 
必然 遇 到 的 一 种 现象 ,但 是 ,将 自己 的 签名 权利 委托 他 人 的 时 候 , 必 须 考虑 以 下 几 个 问题 : 

(1) 安全 性 (security)。 一 般 来 说 ,一 个 人 将 数字 签名 权力 委托 给 代理 人 的 时 候 , 希 
望 代理 人 只 能 代表 他 在 特定 的 时 间 对 特定 的 文件 生成 数字 签名 ,而 不 希望 代理 人 “滥用 ” 
他 的 数字 签名 权力 , 且 不 希望 非法 的 攻击 者 能 因此 伪造 出 有 效 的 数字 签名 。 

(2) 实用 性 (practicability) 。 委 托 数字 签名 权力 的 方法 方便 有效, 容易 实现 。 

(3) 效率 (efficiency)。 委 托 权 力 的 方法 具有 较 高 的 速度 和 较 小 的 计算 复杂 人 性、 通信 


7.1 代理 签名 的 基本 概念 和 分 类 


代理 签名 (proxy signature), 又 称 为 委托 签名 ,是 1996 年 由 Mambo、Usuda 和 
Okamoto 在 ACM CCS96 会 议 上 首次 提出 的 92。 代 理 签名 是 指 在 一 个 签名 方案 中 ,原始 
签名 人 (original signer) 把 他 的 签名 权 授予 代理 签名 人 (proxy signer) ,然后 代理 签名 人 代 
表 原 始 签 名 人 生成 有 效 的 签名 。 

一 个 代理 签名 体制 可 由 以 下 几 个 部 分 组 成 : 

(1) 参数 产生 。 选 定 签名 体制 的 参数 、 用 户 的 密 钥 等 。 

(2) 数字 签名 权利 的 委托 。 原 始 签名 人 将 自己 的 签名 权利 委托 给 代理 签名 人 。 

(3) 代理 签名 的 生成 。 代 理 签 名 人 代表 原始 签名 人 生成 数字 签名 。 

(4) 代理 签名 的 验证 过 程 。 验 证 人 验证 代理 签名 的 有 效 性 。 

以 上 是 一 个 直观 的 定义 ,下 面 给 出 一 个 形式 化 的 定义 。 这 也 是 定义 签名 方案 的 第 
一 此 = 
定义 7.1 设 A,B 是 一 个 数字 签名 方案 (M,S,SK,PK,GenKey,Sign,Vrfy) 的 两 个 
用 户 ,其 中 M 是 消息 集合 ,S 是 签名 集合 ,SK 是 私 钥 集合 ,PK 是 公 钥 集合 ,GenKey 表示 


© M. Mambo, K. Usuda, E. Okamoto. Proxy Signature for Delegating Signing Operation. Proc. of ACM 
CCS96, 48-57. 
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密 钥 生产 算法 集合 ,Sign 表示 签名 生成 算法 的 集合 ,Vrfy 是 签名 验证 算法 集合 ,它们 的 私 
钥 、 公 钥 分 别 是 (za ,ya),(zs,ys)ESKXPK。 如 果 以 下 条 件 成 立 : 

(1) A 利用 他 的 私 钥 x 计算 出 一 个 数 3, 然 后 将 6 秘密 交 给 B; 任 何人 (包括 B) 在 试 
图 求 出 za 时 ,6 不 会 对 求解 有 任何 帮助 。 

(2) 代理 签名 者 B 可 以 利用 6 和 zs 生成 一 个 新 的 签名 密 钥 SA-a。 

(3) 存在 一 个 公开 的 验证 算法 Vrfys-a:PKXSXM->~{True,False} ,使 得 对 任何 ;€ 
S 和 mEM, 都 有 VrfyA-as(CyAys,m2) 一 True 全 一 Sign(OA a.m) 。 

(4) 任何 人 在 试图 求解 zs ,zas,6 和 6A-s 时 ,任何 数字 签名 Sign(64.s,m) 都 不 会 对 求 

解 有 任何 帮助 。 
则 称 用 户 A 将 他 的 签名 权力 委托 给 用 户 B, 且 称 A 为 原始 签名 人 ,B 为 A 的 代理 签名 人 ， 
6 为 委托 密 钥 (delegating key) ,6A-s 为 代理 签名 密 钥 (proxy signing key) ,以 代理 签名 密 
钥 对 消息 m 生成 的 签名 Sign(6A-s:m) 为 A 的 代理 签名 ,能 够 生成 代理 签名 的 数字 签名 
体制 称 为 代理 签名 体制 。 

代理 签名 体制 应 满足 如 下 基本 性 质 ， 

(1) 不 可 伪造 性 (unforgeability)。 除 了 原始 签名 人 外 ,任何 人 (包括 代理 签名 人 ) 都 
不 能 生成 原始 签名 人 的 普通 数字 签名 。 这 个 性 质 是 数字 签名 体制 的 基本 要 求 ,保证 了 原 
始 签名 人 的 基本 安全 要 求 。 

(2) 代理 签名 的 不 可 伪造 性 。 除 了 代理 签名 人 外 ,任何 人 (包括 原始 签名 人 ) 都 不 能 
生成 有 效 的 代理 签名 。 如 果 原 始 签名 人 委托 了 多 个 代理 签名 人 ,那么 任何 代理 签名 人 都 
不 能 伪造 其 他 代理 签名 人 的 代理 签名 。 这 一 性 质保 证 了 代理 签名 人 的 基本 安全 需求 。 

(3) 代理 签名 的 可 区 分 性 (distinguishability)。 任 何 一 个 代理 签名 都 与 原始 签名 人 
的 普通 数字 签名 有 明显 的 区 别 ,不 同 的 代理 签名 人 生成 的 代理 签名 之 间 也 有 明显 的 区 别 。 
这 个 性 质 和 性 质 (1)、(2) 结 合 起 来 可 防止 签名 人 之 间 的 互相 抵赖 。 

(4) 不 可 抵赖 性 (undeniability)。 任 何 签名 人 (不 论 是 原始 签名 人 还 是 代理 签名 人 ) 
在 生成 一 个 数字 签名 后 ,不 能 再 对 它 加 以 否认 。 这 个 性 质 可 由 性 质 (1) 一 (3) 推 导出 来 。 

(5) 身份 可 识别 性 (identifiability)。 原 始 签 名 人 可 以 根据 一 个 有 效 的 代理 签名 确定 
相应 的 代理 签名 人 的 身份 。 利 用 这 个 性 质 , 原 始 签 名 人 可 以 对 代理 签名 人 进行 监督 ,使 代 
理 签名 人 不 能 在 不 被 发 现 的 情况 下 滥用 他 的 代理 签名 权力 。 

Mambo 等 将 代理 签名 分 为 3 类 : 完全 代理 签名 (full delegation)、 部 分 代理 签名 
(partial delegation) 、 具 有 证 书 的 代理 签名 (delegation by warrant) 。 

(1) 完全 代理 签名 即 原始 签名 人 直接 将 自己 的 私 钥 通过 安全 信道 发 送 给 代理 签名 
人 ,这 是 一 种 平凡 的 代理 签名 。 由 于 代理 签名 人 产生 的 签名 与 原始 签名 者 产生 的 签名 是 
不 可 区 分 的 , 故 不 能 制止 签名 滥用 , 且 不 具备 可 识别 性 。 

(2) 部 分 代理 签名 中 ,代理 签名 的 密 钥 是 由 原始 签名 人 的 密 钥 计算 出 来 的 ,但 由 代理 
密 钥 计算 不 出 原始 签名 的 密 钥 。 签 名 时 用 到 原始 签名 人 的 公 钥 。 

(3) 具有 证 书 的 代理 签名 方案 中 使 用 了 一 个 称 为 委任 状 的 文件 来 实现 签名 权 的 委 
托 。 代 理 签 名 人 在 签名 时 ,用 自己 的 签名 密 钥 进行 签名 。 一 个 有 效 的 代理 签名 由 代理 签 
名 人 生成 的 签名 和 原始 委任 状 组 成 。 
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部 分 代理 签名 和 具有 证 书 的 代理 签名 比 完全 代理 签名 安全 ,而 部 分 代理 签名 比 具有 
证 书 的 代理 签名 灵活 ,方便 , 故 本 节 主 要 讨论 部 分 代理 签名 。 

部 分 代理 签名 可 分 为 两 种 类 型 : 

(1) 不 保护 代理 的 代理 签名 (proxy-unprotected proxy signature) 。 指 定 的 代理 签名 
者 能 够 代表 原始 签名 者 产生 有 效 代理 签名 ,没有 指定 为 代理 签名 者 的 第 三 方 不 能 产生 有 
效 代理 签名 ,但 是 原始 签名 者 可 产生 有 效 代理 签名 ,这 时 代理 签名 密 钥 就 是 6。 

(2) 保护 代理 的 代理 签名 (proxy-protected proxy signature) 。 指 定 的 代理 签名 者 能 
代表 原始 签名 者 产生 有 效 代理 签名 。 第 三 方 都 不 能 产生 有 效 代理 签名 ,而 且 原始 签名 者 
也 不 能 产生 有 效 代理 签名 。 这 是 因为 代理 签名 密 钥 由 8 和 代理 签名 人 的 私 钥 zs 两 部 分 
组 成 。 


7.2 代理 签名 举例 
721 MJO 不 保护 代理 的 代理 签名 


下 面 介 绍 M. Mambo、K. Usuda 和 上. Okamoto 提出 的 MUO 方案 。 

假设 (M,S,SK,PK,GenKey', Sign, Vrfy) 是 一 个 基于 离散 对 数 问题 的 数字 签名 体 
制 ,p 是 一 个 大 素数 ,g 为 p 一 1 或 p 一 1 的 大 素数 因子 :gEZ7 , 且 8"=1 mod p。 用 户 A、 
B 的 私 钥 和 公 钥 分 别 是 (zs ,ya),(zs ,ys) ,满足 ys 一 g** mod p,ys 二 g*s mod p。 

(1) 委托 过 程 。 

Q@ A 随机 选取 一 个 数 kEZ; ,计算 K=g* mod p。 

@ A 计算 6=zs 十 kK mod g, 将 (6,K) 秘 密 发 送 给 B。 

@ B 验证 等 式 g*? 二 yAK* mod p 是 否 成 立 , 如 不 成 立 , 则 要 求 A 重新 执行 步骤 四 或 
终止 。 
(2) 代理 签名 的 生成 。 

对 消息 m,B 使 用 6 生成 普通 的 数字 签名 s 二 Signs(m) ,然后 将 (s,K) 作 为 代表 A 对 
消息 m 生成 的 数字 签名 , 即 代理 签名 。 

(3) 代理 签名 的 验证 。 接 收 方 收 到 了 消息 mx 和 代理 签名 (s,K), 按 如 下 步骤 来 验证 
代理 签名 的 有 效 性 : 

四 计算 v=yaK* mod p。 

@ 验证 Vrfy(ya,(s,K),m)==TrueSSVrfy(v,s,m)= True。 

MUO 方案 具有 以 下 几 个 性 质 : 

(1) 基本 的 不 可 伪造 性 。B 难以 根据 他 所 得 到 的 (6,K) 计 算出 zaA, 从 而 不 能 伪造 A 
的 普通 数字 签名 。 同 时 也 说 明 任 何其 他 攻击 者 难以 伪造 A 的 普通 数字 签名 。 

(2) 代理 签名 的 不 可 伪造 性 。 由 于 A 和 B 都 知道 (3,K), 所 以 A 和 B 都 能 生成 代理 
签名 (也 说 明 这 是 不 保护 代理 的 代理 签名 )。 但 是 除了 A 和 B 以 外 ,其 他 任何 人 都 难以 伪 
造 一 个 有 效 的 代理 签名 。 

(3) 代理 签名 的 可 区 分 性 。 代 理 签名 (s,K) 由 两 部 分 组 成 ,一 部 分 是 普通 数字 签名 
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5, 另 一 部 分 是 某 个 数 K。 由 于 代理 签名 比 普通 签名 多 出 一 部 分 ( 即 K) ,容易 将 代理 签名 
与 普通 的 数字 签名 区 分 开 来 。 同 时 ,不 同 的 代理 签名 人 的 代理 签名 也 可 区 分 ,假如 除 B 
外 还 有 代理 签名 人 C,A 在 委托 过 程 中 发 送 给 C 的 消息 是 (6',K’), 其 中 K’==g* mod p， 
k 关 k', 于 是 K 关 K',C 生成 的 代理 签名 为 (s',K’) ,于 是 可 将 B 和 C 的 代理 签名 区 分 开 来 。 

(4) 不 可 抵赖 性 。 由 于 任何 人 都 不 能 伪造 A 的 普通 数字 签名 ,所 以 A 不 能 否认 其 有 
效 的 数字 签名 。 由 于 除了 A 和 B 外 ,任何 人 都 不 能 伪造 B 的 代理 签名 ,所 以 A 和 B 不 能 
否认 一 个 有 效 的 代理 签名 , 即 一 个 有 效 的 代理 签名 必然 是 A 和 B 两 者 中 的 一 个 生成 的 。 
但 是 ,A 和 B 之 间 可 以 相互 抵赖 , 即 声称 代理 签名 是 对 方 而 不 是 自己 生成 的 。 

(5) 身份 可 识别 性 。 在 这 个 代理 签名 方案 中 ,如 果 A 在 向 B 发 送 (6,K) 时 ,将 K 和 B 
的 身份 保存 在 一 起 ,那么 当 A 看 到 一 个 有 效 的 代理 签名 (s,K) 时 ,就 可 以 通过 识别 B 
的 身份 。 

上 面 给 出 的 方案 的 步骤 (2) 中 没有 给 出 具体 的 签名 方案 。 这 里 给 出 一 个 完整 的 步 又 
(2) ,并 给 出 对 应 的 步骤 (3) 。 参 数 设置 和 原 步骤 (1) 不 变 。 

(1) 委托 过 程 。 

步骤 同 前 。 

(2) 代理 签名 的 生成 。 对 消息 m,B 执行 如 下 操作 : 

@ 选择 随机 数 rEZs ,计算 R=g" mod p。 

@ 计算 s=r (mm 一 6R) mod (p 一 1)。 

代理 签名 为 (R,s,K)。 

(3) 代理 签名 的 验证 。 接 收 方 收 到 了 消息 mx 和 代理 签名 (CR,s, 开 ) , 按 如 下 步骤 来 验 
证 代理 签名 的 有 效 性 : 

@ 计算 v 一 yAKx mod p。 

@ 验证 g" 二 Rv mod p 是 否 成 立 , 如 果 成 立 , 则 代理 签名 正确 。 

正确 性 证 明 留 作 练 习 。 

通过 完整 的 方案 可 以 体会 到 ,代理 签名 人 用 委托 密 钥 6 签名 ,验证 签名 时 用 到 原始 签 
名 人 的 公 钥 ,v 二 yaK* mod p 其 实 可 视 为 “委托 密 钥 对 应 的 公 钥 ”"。 委 托 密 钥 和 原始 签名 
人 的 公 钥 通过 一 个 随机 的 “承诺 ”K 联系 起 来 。 


722 MUO 保护 代理 的 代理 签名 


7.2.1 节 介绍 了 不 保护 代理 的 代理 签名 , 即 A 和 B 都 能 生成 代理 签名 。 保 护 代 理 的 
代理 签名 的 设计 目标 是 使 得 只 有 代理 签名 人 才 可 以 生成 代理 签名 ,方法 是 : 在 步 又 (2) 中 
不 用 委托 密 钥 8 签名 ,而 是 用 代理 签名 密 钥 SA-a 签 名 ,对 消息 冯 生 成 的 签名 Sign(6A-a， 
m) 为 A 的 代理 签名 ,而 不 是 将 Sign(6,m) 作 为 A 的 代理 签名 。 

注意 : 代理 签名 密 钥 (6GA-s) 由 委托 密 钥 8 和 代理 签名 人 的 私 钥 生成 , 故 只 有 代理 签 
名 人 可 以 生成 代理 签名 。 

于 是 ,得 到 保护 代理 的 MUO 代理 签名 方案 。 参 数 生成 过 程 同 7.2.1 节 。 

(1) 委托 过 程 。 

Q@ A 随机 选取 一 个 数 kEZ; ,计算 天 一 入 mod p。 
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@ A 计 算 6 一 zA 十 AK mod gq, 将 (6,K) 秘 密 发 送 给 B。 

@ B 验证 等 式 g* 一 ysK* mod p 是 否 成 立 , 如 不 成 立 , 则 要 求 A 重新 执行 步骤 四 或 
终止 。 

@ BB 计算 6=6 二 xpys mod g。 

(2) 代理 签名 的 生成 。 对 消息 m,B 使 用 $ 生成 普通 的 数字 签名 * 一 Signi (mm) ,然后 
将 (s,K) 作 为 代表 A 对 消息 m 生成 的 数字 签名 , 即 代理 签名 。 

(3) 代理 签名 的 验证 。 

接收 方 收 到 了 消息 mr 和 代理 签名 (s,K), 按 如 下 步骤 来 验证 代理 签名 的 有 效 性 : 

OO 计算 v 一 yAKxy mod p。 

@ 验证 Vrfy(CyA syas(s,K),m)=TrueSVrfy(v ,s,m)= True。 


第 8 章 
多 重 数 字 签 名 


8.1 多 重 数字 签名 的 基本 概念 


首先 看 两 个 场景 : 中 一 份 合 同 的 签订 ,需要 有 甲乙 双方 的 签字 ,有 时 甚至 是 多 方 ( 加 
上 公证 方 ) 的 签字 。@ 一 份 员 工 入 职 批准 文件 ,可 能 需要 人 事 部 、 财 务 部 、 开 发 部 等 多 个 部 
门 签字 才能 有 效 。 由 此 提出 一 个 要 求 一 一 如 何 实现 多 个 用 户 对 同一 个 消息 的 数字 签名 。 

1983 年 Boyd 提出 了 多 重 数字 签名 (digital multisignature) 的 概念 , 即 可 实现 多 个 用 
户 对 同一 消息 进行 数字 签名 。 根 据 签名 顺序 划分 ,可 将 多 重 数字 签名 方案 分 为 广播 多 重 
数字 签名 (broadcasting mnultisignature) 和 顺序 多 重 数字 签名 (sequential multisignature) 。 
广播 多 重 数字 签名 是 指 消 息 发 送 者 将 消息 发 送 给 每 一 位 签名 者 进行 签名 ,然后 签名 者 将 
签名 消息 发 送 给 签名 收集 者 ,由 收集 者 对 签名 消息 进行 整理 而 形成 签名 。 顺 序 多 重 数字 
签名 是 指 每 一 位 签名 者 按照 一 定 的 顺序 进行 签名 。 

通常 多 重 数字 签名 方案 的 参与 者 有 消息 发 送 者 (issuer) ,消息 签名 者 (signer) ,签名 
验证 者 (verifier) 和 签名 收集 者 (collector) 。 多 重 签名 的 过 程 一 般 由 以 下 几 个 部 分 组 成 : 

(1) 参数 的 生成 。 选 定 签名 体制 的 参数 .用户 的 密 钥 等 。 

(2) 单个 签名 人 签名 的 生成 。 签 名 人 按照 协议 要 求 对 消息 进行 签名 。 

(3) 多 重 签名 的 产生 。 按 照 协议 要 求 ,生成 总 的 签名 。 

(4) 签名 的 验证 。 验 证 人 验证 签名 的 有 效 性 。 

图 8. 1 是 两 种 多 重 数字 签名 方案 的 示意 图 。 


消息 签名 者 


签名 收集 者 
~ 


消息 发 送 者 窒 名 验证 者 
消息 发 送 者 。 消息 签名 者 消息 验证 者 
(g 广播 多 重 数字 签名 (b) 顺序 多 重 数字 签名 


图 8.1 两 种 多 重 数字 签名 方案 的 示意 图 
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多 重 数字 签名 的 性 质 如 下 : 


(1) 不 可 伪造 性 。 这 是 数字 签名 的 一 个 基本 要 求 , 这 里 指 除 签名 组 成 员 共 同 完 成 签 
名 外 ,任何 人 不 可 能 伪造 多 重 签名 ,包括 签名 组 成 员 中 的 一 部 分 也 不 可 能 合谋 产生 有 效 
签名 。 

(2) 不 诚实 签名 者 的 可 识别 性 。 如 果 签 名 组 成 员 中 有 不 诚实 者 试图 伪造 签名 , 则 在 
签名 过 程 中 或 验证 过 程 中 就 能 被 发 现 。 如 果 签 名 组 中 有 不 诚实 者 ,那么 签名 不 可 能 完成 。 

(3) 不 可 否认 性 。 签 名 一 旦 形成 ,签名 组 全 体 成 员 不 能 否认 其 签名 。 

(4) 可 验证 性 。 消 息 接收 入 或 签名 验证 人 能 根据 协议 要 求 检验 签名 的 真 伪 。 


8.2 多 重 数字 签名 举例 


821 日 Gama 型 广播 多 重 数字 签名 


广播 多 重 数字 签名 中 ,签名 组 成 员 没 有 签名 的 先后 顺序 ,但 要 求 必须 由 一 个 签名 收集 
者 最 终 完 成 整个 签名 。 下 面 介 绍 EIGamal 型 多 重 数字 签名 方案 。 

方案 的 参与 者 有 消息 发 送 者 Ur 若干 签名 者 U;(i 二 1,2,…,n)、 签 名 收集 者 Uc 和 签 
名 验证 者 U,。 

(1) 参数 产生 。 每 一 位 签名 者 U; (i 二 1,2,…,n) 任 意 选 取 zx;€E[1,p 一 1] 作 为 U; 的 
私 钥 ,并 计算 w% 一 8 mod p ,发 送 给 其 他 每 一 位 签名 者 Uj (j 关 站。 

(2) 签名 生成 。 

QO@ Ui 将 m 发 送 给 每 一 位 签名 者 U;(i 二 1,2,…,n),U; 随机 选取 k;E[1,p 一 1], 计 算 
ri 王 g* mod p ,发 送 给 其 他 每 一 位 签名 者 U;(j 冯 让 。 

@ Ui 收 到 x;(i=1,2,…,n) 后 计算 


R= TI modp 

然后 计算 s;==(R 十 hm))zi 一 rik: mod(p 一 1) ,将 签名 Gm,(s;,7i)) 发 送 给 Uc。UEc 收 到 
《ms《sio7i)),(i 二 1,2,…,n) 后 ,首先 计算 R, 然 后 验证 方程 yw 二 rfig* mod p 是 否 成 
立 。 若 成 立 , 说 明 U; 的 签名 是 正确 的 ,否则 ,不 能 接受 签名 ,要 求 重 新 签名 或 放弃 本 次 多 
重 签名 。 

Uc 计算 s=5 十 sz 十 … 十 s,， 则 多 重 签名 是 (mm,(s,R))。 

(3) 签名 验证 。 当 U, 得 到 消息 及 其 签名 4m,(s,R)) 后 ,验证 等 式 

Rg: == (yy TT sd 

如 果 成 立 , 则 认为 签名 有 效 ,否则 签名 无 效 。 

容易 得 到 正确 性 证 明 。 

8' 一 grg*"…g” mod p, 有 


人 一 中 (riyRthm ) mod p 
i=l 


To )g’ = 机 gp) modp 
1 一 1 i=1 
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822 6Ganal 型 顺序 多 重 数字 签名 


顺序 多 重 签名 要 求 所 有 的 签名 者 按照 一 定 的 次 序 进行 签名 ,而 不 是 所 有 签名 者 分 别 
对 某 一 个 消息 同时 签名 。 与 普通 数字 签名 相 比 ,顺序 多 重 数字 签名 还 有 以 下 特征 ， 

(1) 签名 的 长 度 与 签名 人 的 数目 无 关 。 

(2) 不 必 知 道 每 个 签名 者 的 公 钥 ,而 使 用 组 公 钥 就 可 以 验证 签名 。 

(3) 签名 者 必须 按照 特定 的 次 序 依次 对 消息 进行 签名 ,否则 无 法 获得 有 效 的 签名 。 

(4) 没有 所 有 的 签名 者 联合 操作 ,要 获得 有 效 的 有 序 签名 ,在 计算 上 是 不 可 行 的 。 

顺序 多 重 数字 签名 的 参数 产生 同 8. 2. 1 节 。 消 息 发 送 者 预先 设计 一 个 签名 顺序 Ui ， 
和 ss 
下 面 介绍 签名 过 程 。Ui 把 消息 mm 发送 给 第 一 个 签名 者 Ui , 设 so 二 0, 那 么 每 个 签名 
者 Ui;(i 宇 2) 收 到 上 一 个 签名 者 U;_1 的 签名 (m,si-1) 后 ,做 如 下 操作 : 

(1) 验证 等 式 


Rg’ = 三 (CyRmeo ) modp 
i=]1 


gm 1 择 Ty” modp 
j=i j=1 
车 成 立 , 则 继续 ,否则 拒绝 对 消息 签名 。 
(2) 验证 成 立 后 ,U; 随机 选择 &;E[1,p 一 1], 计 算 
ri=gh modp 
5 sh(m)zri— rik: mod (p—1) 
然后 将 Gm,s;) 发 送 到 下 一 个 签名 者 Ui ,将 x; 分 别 发 送 到 U; 以 后 的 签名 者 。 
文件 签名 者 U; 完成 签名 后 生成 消息 m 的 顺序 多 重 签名 (ms wri ,ro ，*… ,ri)。 
(3) 签名 验证 。 消 息 m 的 顺序 多 重 签名 为 (mss, ,ni ,ro，… ,ri)。 签 名 验证 者 U, 验证 
等 式 


让 t 
3 Wy hm) 
ml» = 1y" modp 
j=1 j=1 


如 果 等 式 成 立 , 则 U, 认为 Ui ,U: ,…',U, 对 消息 m 进行 的 顺序 多 重 签名 有 效 ,否则 无 效 。 


正确 性 证 明 容易 得 到 : 
由 于 
$s h(m)zi— rik: mod ( 力 一 1) 
于 是 
5 DA — nk) mod (p—1) 
j=1 
即 


Drkj ts Dh nz mod (p—1) 
j=1 


J 


于 是 ,对 任意 i, 有 


因此 


Dimzjmode 
三 gj 
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modp 


TTww modp 
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其 他 高 级 签名 ” 


9.1 环 签 名 


先 看 一 个 场景 : 假设 Alice 是 某 个 国家 的 内 阁 成 员 , 她 知道 一 条 关于 首相 的 丑闻 ,并 
想 将 这 个 丑闻 泄露 给 报刊 记者 。Alice 不 能 让 一 个 平民 百姓 去 告诉 记者 ,因为 这 样 的 检举 
别人 不 会 相信 。 但 是 Alice 又 不 能 用 普通 的 数字 签名 ,因为 这 样 会 暴露 自己 的 身份 。 
Alice 采取 的 办 法 是 选择 所 有 的 内 阁 成 员 构成 一 个 “ 环 ”, 使 用 代表 这 个 “* 环 ”的 签名 发 送 给 
记者 ,记者 验证 签名 ,可 以 确信 消息 是 由 内 阁 中 的 某 个 成 员 泄 露 的 ,从 而 具有 可 信人 性 ;但 同 
时 记者 无 从 获知 检举 人 的 身份 , 猜 中 是 Alice 检举 的 机 会 只 是 1/n, 从 而 实现 Alice 的 匿 
名 检举 的 目的 。 


911 环 签名 的 基本 概念 


2001 年 的 Asiacrypt 会 议 上 ,R.L. Rivest 和 A. Shamir 等 人 以 如 何 泄露 秘密 为 背景 
提出 环 签名 (ring signature) 的 概念 0。 其 基本 思想 是 : 签名 人 可 以 随意 将 自己 包括 在 一 
个 群体 (构成 一 个 环 ) 内 ,在 签名 时 把 所 有 和 群体 成 员 的 信息 ( 公 钥 ) 作 为 签名 的 一 部 分 。 任 
何人 可 以 验证 签名 是 群体 中 的 一 个 成 员 所 做 的 ,但 无 法 推断 出 到 底 是 哪个 成 员 所 做 的 。 
群体 中 的 任何 一 个 成 员 是 真正 的 签名 者 的 概率 都 相等 。 因 此 , 环 签名 可 以 实现 对 签名 者 
的 无 条 件 匿名 。 正 是 由 于 这 一 点 , 它 非 常 适合 一 个 群体 的 成 员 以 群体 的 名 义 对 外 汽 露 秘 
密 , 而 不 至 于 事后 被 查 出 究竟 是 谁 。 当 然 , 除 了 泄露 秘密 外 , 环 签 名 可 用 于 群体 成 员 的 匿 
名 认证 等 方面 。 

定义 9.1 环 签名 的 基本 概念 如 下 : 

给 定 一 个 环 UD 二 {Ui ,U: ,…,U,) , 环 中 每 个 用 户 的 公 钥 一 私 钥 对 为 (pki'ski) ,i 二 1， 
2,…,n。 不 失 一 般 性 ,假设 Ui (1 三 kn) 是 签名 人 。 除 密 钥 生 成 算法 外 ,一 个 环 签名 体制 
还 包含 环 签名 产生 算法 ring-sign 和 环 签名 验证 算法 ring-verify: 

(1) ring-sign, 环 签名 产生 算法 。 输 入 是 待 签名 的 消息 m\ 环 中 所 有 成 员 的 公 钥 pk; 
( 委 i 委 2) 和 真正 签名 人 的 私 钥 ski ;输出 是 Us 对 消息 m 的 环 签名 s, 记 作 sring-sign 
(7 ,pki ,pk ,…… ,pk, , sk: ) 。 

(2) ring-verify, 环 签名 验证 算法 。 输 入 是 待 验 证 的 消息 签名 对 (m,s) 和 环 中 所 有 成 员 
的 公 钥 ;输出 为 签名 验证 正确 或 错误 , 即 {True .False}<-ring-verify(m,s,pki ,pks ,… ,pk, ) 。 


© R. Rivest, A. Shamir, Y. Tauman. How to Leak a Secret. Asiacrypt01, 2001: 552-565. 
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环 签 名 的 安全 性 一 般 要 求 如 下 : 


(1) 正确 性 (consistency)。 环 中 的 任 一 成 员 执行 环 签名 产生 算法 后 输出 的 签名 都 能 
通过 该 体制 中 的 签名 验证 算法 。 

(2) 匿名 性 (anonymity)。 给 定 一 个 环 签名 , 则 任意 验证 者 不 会 以 大 于 1/n 的 概率 识 
别 产 生 该 签名 的 真正 签名 人 ,其 中 ) 为 环 成 员 个 数 。 

(3) 不 可 伪造 性 Cunforgeablity)。 任 意 不 在 环 上 的 用 户 不 能 有 效 地 产生 一 个 消息 签 
名 对 (ms) ,使 得 ring-verify(m,s,pki ,pk ,…,pk,) 一 True。 


912 第 一 个 环 答 名 方案 


在 此 介绍 R， Rivest 和 A. Shamir 等 人 提出 的 第 一 个 环 签名 方案 。 

1. 基本 假设 与 参数 

设 ~ 个 群体 成 员 为 A ,As ,…,A, ,实际 签名 人 为 A, ,1 二 sr。 

Ai; 的 公 钥 为 P ,消息 是 长 度 为 和 的 比特 串 , 每 一 个 公 钥 P; 对 应 一 个 单 向 陷 门 置换 

eR 1)* 环 {0,1)*, 只 有 在 知道 P; 对 应 的 私 钥 的 情况 下 才 可 以 求 出 g; 的 逆 。 其 实 ,g; 就 
i 
是 一 个 密 钥 长 度 为 ! 的 公开 的 对 称 加 密 算法 ,每 一 个 密 钥 对 应 的 加 密 函 数 是 一 

置换 ER ij 

h:{0,1}"— 六 是 公开 的 抗 碰撞 散 列 函数 。 

ope ,vE {0,1)*} 是 合成 函数 ,其 中 是 密 钥 ,v 是 初 
始 值 。 对 确定 的 和 vw,CisCyrsyar"…* sy):{0,1)sXX{0,1)sX…X{0,1)* 一 {0,1)* 满足 
下 述 3 条 性 质 : 

(1) 对 每 一 个 s,1 志 sr, 在 其 他 的 输入 y;(i 考 ;) 被 固定 时 ,Ci,s 《yi ,ys，… ,yi) 是 {0 
1)* 上 的 置换 。 

(2) 对 每 一 个 ;,1 达 ;过 7, 给 定 一 个 5 比特 值 > 和 除了 >y, 外 的 其 他 y; 值 ,可 有 效 地 计 
算出 y; 的 一 个 值 ,使 得 CCy ,ys，…,y,) 二 xz, 即 环 签名 是 容易 计算 的 。 

(3) 给 定 ,v,z 的 值 ,在 不 知道 任何 单 向 陷 门 函数 gi ,g;，…,g, 的 逆 的 情况 下 ,要 求 
出 方程 Ch, (gi (zi) ,gz (Tz),… ,gi(X1)) 二 z 的 解 x1 ,zs，… ,zx; 是 不 可 行 的 。 

一 个 具体 的 Ci,, (yi,y2，…，,y,) 可 用 对 称 加 密 函 数 Ei 构造 : 

Chay ya yr) = Ei(y, DB Ey DB El(ys BEC(% OE(y Ov)…)))) 
其 中 ,y;==gi(zi) ,1<i<r。 

上 述 签名 方案 的 合成 函数 如 图 9. 1 所 示 。 

2. 环 签名 的 生成 ring-sign(m,Pi.P,.…,P,.s,S,) 

设 签名 者 为 A,, 要 签名 的 消息 为 m. A, 的 私 钥 为 S;, 全 体 成 员 的 公 钥 依次 为 P, ， 
PP,…,P, ,执行 以 下 步 又 : 

(1) 由 消息 产生 对 称 密 钥 二 h(m) 或 k= 二 hm,Pi,P,,…,P,)。 

(2) 选取 随机 的 初始 值 vE {0,1)*。 
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如 


pax) 
A ee 
人 ~ 
v / 
2 
yy 志 pA 


于 一 一介 一 一 压 
ba 


yg2(%) 
为 
Cid pa EAN OE AD EY 2 OE( RO EA OV))) 
图 9.1 环 签名 方案 合成 函数 示意 图 


(3) 对 每 一 个 i,1<i<r,i 关 5, 随 机 选取 zx; E10,1)*, 并 计算 y; 二 gi(zi)。 

(4) 从 方程 Co(yi ,yz，… yr) 二 ov 求解 出 y,。 

(5) 利用 陷 门 信息 ( 私 钥 S,) 求 出 xz, 二 gr (y,)。 

(6) 输出 环 签 名 o= (P,P,,…,P,,v,zi ,Ts ,XT,)。 

3. 环 签名 的 验证 ring-verify(m,o) 

对 (m,o) ,验证 者 执行 以 下 步 又; 

(1) 对 每 一 个 i,1<i<r, 利 用 陷 门 稚 换 计算 y; 一 gi;(xi)。 

(2) 计算 密 钥 R==hGm) 或 k==hCm,Pi,Ps,…,P,)。 

(3) 验证 方程 Ci,,(yi ,yso，…，,y,) 二 v 是 否 成 立 , 若 成 立 , 则 对 消息 m 环 签名 有 效 , 否 
则 无 效 。 


9.2 指定 验证 者 签名 


921 指定 验证 者 签名 的 提出 


首先 看 一 个 场景 : 当 Alice 向 Bob 透露 自己 的 个 人 隐私 的 时 候 , 或 者 当 Bob 是 招标 
人 而 Alice 是 投标 人 ,Alice 向 Bob 递交 标书 的 时 候 ,Alice 希望 Bob 能 够 验证 消息 的 真实 
性 ,不 希望 Bob 向 第 三 方 证 明 消 息 的 真实 性 。 换 句 话 说 ,Alice 希望 她 发 给 Bob 的 信息 ， 
只 有 Bob 能 够 确信 其 来 自 Alice 并 且 是 完整 的 ,其 他 任何 人 都 无 法 判断 消息 的 来 源 及 其 
完整 性 ,即使 Bob 把 自己 的 私 钥 泄 露 给 第 三 方 , 仍 然 不 能 使 第 三 方 相信 消息 是 来 自 Alice， 
且 未 经 过 算 改 。 

1996 年 的 Eurocrypto 会 议 上 ,Jakobsson、Ssko 和 Impagliazzo 提出 了 指定 验证 人 签 
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名 (designated verifier signature) 的 概念 0。 指定 认证 人 签名 是 指 签名 者 把 对 消息 的 签名 
发 送 给 一 个 指定 的 验证 人 ,只 有 这 个 指定 的 验证 人 才能 检验 签名 的 有 效 性 。 而 指定 的 验 
证 人 不 能 够 让 其 他 人 相信 签名 是 真实 有 效 的 ,原因 是 指定 的 验证 人 自己 同样 可 以 产生 一 
个 有 效 的 签名 副本 ,而 且 这 一 副本 与 原 签名 人 的 签名 不 可 区 分 。 这 一 签名 体制 在 电子 商 
务 、 电 子 政务 中 有 很 多 用 途 , 有 效 地 解决 了 验证 性 和 隐私 性 的 冲突 。 

指定 验证 者 签名 方案 的 基本 构成 如 下 : 

(1) 系统 参数 和 密 钥 生 成 。 密 钥 生 成 中 心 选 取 一 个 安全 参数 作为 输入 ,生成 系统 参 
数 并 公开 。 输 入 安全 参数 ,输入 参数 方 的 密 钥 对 (pk;, sk;) (i 二 A,B) ,它们 分 别 表示 签名 
者 和 指定 验证 者 的 公 钥 和 私 钥 。 

(2) 指定 验证 者 签名 生成 。 存 在 一 个 确定 性 算法 ,输入 签名 者 的 私 钥 和 验证 人 的 公 
钥 以 及 待 签名 消息 mr, 可 生成 签名 s<Sign(ska ,pks ,zz) 。 

(3) 指定 验证 者 验证 签名 。 存 在 一 个 确定 性 算法 ,输入 签名 者 的 公 钥 、 验 证 人 的 私 钥 
以 及 消息 mr, 进行 验证 ,车 验证 通过 ,返回 True, 否 则 为 False。 即 

{True,False} <— Vrfy(pka ,sk ,m,s) 

另外 ,指定 验证 者 可 以 独立 生成 一 个 签名 副本 , 称 为 签名 模拟 。 由 指定 验证 人 B 执 
行 一 个 算法 , 当 输 入 签名 人 A 的 公 钥 、B 的 私 钥 和 一 个 消息 冯 后 ,输出 B 对 A 的 签名 的 
一 个 模拟 ,该 模拟 从 概率 分 布 上 与 A 产生 的 有 效 签 名 是 不 可 区 分 的 。 


922 ”SaeedniaKremeer-Markowitdh 方 案 


下 面 通过 一 个 具体 方案 来 举例 说 明 。 
S. Saeednia、S. Kremer 和 O.，Markowitch 在 2003 年 提出 了 一 个 指定 验证 人 签名 
方案 。 
(1) 系统 参数 和 密 钥 生成 。p,g 为 大 素数 ,gl(p 一 1),g 是 Z; 的 一 个 生成 元 。H:{0， 
1)" 一 Zi 是 一 个 安全 散 列 函数 ;签名 人 Alice 的 私 钥 za EZ; , 公 钥 ys 二 g** mod p。 类 
似 地 ,指定 验证 人 Bob 的 私 钥 zs EZ , 公 钥 ye 一 ge mod p。 
(2) 签名 生成 。 对 消息 m 签名 时 ,Alice 随机 选取 &,zEZ，; ,计算 
c=Wmodp, r= Hl(ml|lc), s= kt 1!—rra modg 
(3) 签名 验证 。 检 验 Alice 对 消息 m 的 签名 (r,s, 四 是 否 有 效 ,Bob 检查 下 面 的 等 式 
是 否 成 立 : 
Hlml| (gsyA)=a mod p)=r 
(4) 签名 模拟 。Bob 具有 签名 模拟 的 能 力 , 如 随机 选取 s ,rEZs ,计算 
c=g’ys modp 
r= Hmle) 


l=rr "modg 


s=s1 modg 


© M. Jakobsson, K. Sako, Impagliazzo. Designed Verfier Proofs and Their Applications. Proc. of 
Eurocrypto96, 1996: 143-154. 
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把 (r,s, 四 作为 Alice 对 消息 m 的 签名 的 模拟 。 可 见 , 这 里 的 (r,s,t) 与 Alice 发 送 给 
Bob 的 对 m 的 签名 完全 不 同 ,但 仍然 可 通过 (3) 中 的 签名 验证 方程 。 

对 本 方案 有 如 下 解释 : 

(1) 本 方案 签名 的 方式 与 Schnorr 签名 类 似 , 参 数 选择 也 类 似 。 

(2) 签名 生成 时 ,用 到 了 Bob 的 公 钥 。Alice 随机 选取 两 个 随机 数 ,为 步骤 (4) 中 的 签 
名 模拟 提供 了 可 能 。 

(3) 签名 验证 需要 用 到 Bob 的 私 钥 , 因 此 其 他 人 无 法 验证 签名 。 由 于 + 是 Alice 随机 
选择 的 , 且 在 签名 生成 方程 中 使 用 ,所 以 需要 传递 给 Bob, 用 于 验证 签名 。 验 证 函数 的 正 
确 性 是 基于 

(giya)"s mod p= (g'g™”s)"s mod p= ga modp 
一 ga modp=wmodp=e 

(4) Bob 构造 的 签名 满足 签名 验证 方程 。 即 使 Bob 向 第 三 方 透露 自己 的 私 钥 , 也 无 
法 证 明 这 个 签名 是 Alice 签署 的 ,因为 Bob 可 根据 自己 的 私 钥 和 Alice 的 公 钥 独立 地 生成 
(r,s,t)。 下 面 验 证 模拟 的 签名 是 正确 的 : 

c=gyrmodp= gy modp= (gy modp 

Hlml (giys)”s mod p)=r 
从 而 模拟 (r,s,z) 满 足 签名 验证 等 式 , 而 且 这 样 的 模拟 与 Alice 产生 的 对 消息 m 的 签名 从 
概率 分 布 上 是 不 可 区 分 的 。 

思考 9.1 Bob 模拟 签名 的 例子 是 如 何 给 出 的 ? 即 如 何 生成 一 个 有 效 的 (r,s,2? 

实质 上 是 解 关 于 (r,s,t,c) 的 方程 组 : 

r= Hmlo) 

(g'ya)”s mod p =e 
先 任 选 一 个 cE (1,p 一 1), 令 r= 二 昌 (m 1c), 解 关于 未 知 数 (s,t) 的 方程 (g’*y%)*s mod pp 二 
c, 这 是 一 个 不 定 方 程 ,由 于 (s,?) 均 在 指数 位 置 ,由 c 解 出 (s,t) 有 困难 。 一 个 巧妙 的 办 法 
是 设法 选 一 个 能 使 得 (g'yA)*a mod p= 二 c 为 恒等式 的 c, 即 避免 求解 关于 (s,z) 的 方程 
(g'y%)*s mod p 二 c。 于 是 令 c= 二 g*y% mod p, 求 出 r= 昌 (m | c), 解 关于 (s,t) 的 方程 
(g'y%)*s 二 g/y*, 即 有 

rtzxs 一 rs, HTB 一 3 


于 是 先 求 :一 ~ rzgl ,再 求 :一 %t zal。 
9.3 不 可 否认 签名 


931 不 可 否认 签名 的 提出 


先 看 一 个 场景 : 某 公司 A 开发 一 个 软件 包 , 该 公司 把 软件 包 及 其 签名 卖 给 用 户 B, 对 
于 普通 的 签名 ,B 可 将 软件 包 和 签名 复制 后 私自 卖 给 C。 可 见 普通 的 签名 是 不 合适 的 ,如 
果 能 构造 一 种 签名 ,在 没有 A 的 参与 及 配合 下 ,无 法 证 明 签 名 的 真实 性 和 合法 性 ,这 样 就 
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防止 了 B 的 复制 行为 ,即使 B 复 制 了 签名 ,B 也 无 法 完成 在 与 C 交互 的 过 程 中 证 明 签名 
的 真实 性 和 合法 性 。 即 没有 签名 生成 方 的 参与 ,签名 无 法 证 实 。 

Chaum 和 van Antwerpen 在 1989 年 提出 了 不 可 否认 签名 的 概念 ,使 签名 者 能 够 限 
制 签 名 的 验证 权 。 该 签名 可 用 于 特殊 的 应 用 场合 ,如 银行 用 户 的 保险 箱 , 电 子 版 权 保护 
等 。 验 证 签名 一 般 通过 “挑战 一 应 答 ” 方 式 来 实现 。 因 此 ,对 于 真实 的 签名 ,签名 人 可 以 通 
过 验证 交互 过 程 证 明 其 真实 性 。 另 外 ,签名 人 对 一 个 真实 的 签名 可 能 “反悔 ”, 想 “和 否认 ”这 
一 签名 ,拒绝 参加 验证 交互 过 程 。 为 了 避免 这 一 情况 ,签名 方案 提供 了 “额外 ”一 个 交互 过 
程 ,用 于 证 明 签 名 是 伪造 的 。 如 果 签 名 人 不 参与 这 个 过 程 , 则 认为 不 是 伪造 的 。 换 句 话 
说 ,对 于 伪造 的 签名 ,签名 人 必须 通过 一 个 否认 交互 过 程 证 明 其 是 伪造 的 。 

因此 ,不 可 否则 签名 的 本 质 是 : 对 于 真实 的 签名 ,必须 有 签名 人 参与 “验证 过 程 ” 才 能 
证 明 其 为 真 ,这 可 防止 签名 的 复制 和 散布 。 当 然 ,伪造 的 签名 无 法 被 第 三 者 通过 “验证 过 
程 ? 证 明 为 真 。 另 外 ,为 了 避免 产生 的 “副作用 ”, 如 * 后 悔 的 ?签名 人 想 通 过 不 参与 “验证 过 
程 ” 来 否认 一 个 真实 的 签名 是 不 行 的 ,因为 他 会 被 要 求 参 与 否认 过 程 ”, 通 过 “否认 过 程 ” 
证 明 真 实 签名 为 假 的 可 能 性 很 小 (这 便 是 “不 可 否认 协议 ”这 一 名 称 的 由 来 )。 当 然 ,对 于 
伪造 的 签名 ,一 个 签名 人 可 以 通过 “否认 过 程 "证 明 其 是 假 的 。 

于 是 ,不 可 否认 签名 由 三 个 部 分 组 成 : 签名 算法 ,验证 协议 ( 即 验 证 过 程 ) ,否认 协议 
( 即 否 认 过 程 )。 


932 Qheumvan Artwerpen 方 案 


下 面 介绍 经 典 的 Chaum-van Antwerpen 不 可 否认 签名 方案 。 

(1) 参数 生成 。g 是 一 个 大 素数 ,p 二 2g 十 1 也 是 一 个 大 素数 ,Z ; 上 的 离散 对 数 问题 
是 困难 的 。 设 a€EZ; 是 一 个 阶 为 g 的 元 素 。 设 1a<g 一 1, 令 8=o mod p。 设 G 表 示 
Z; 的 阶 为 g 的 乘法 子 群 (G 其 实 由 模 p 的 二 次 剩余 构成 )。 值 pa 和 有 是 公 钥 ,a 是 
私 钥 。 

(2) 签名 生成 。 对 TEG,y 二 Sign(7x) 二 x* mod p。 

(3) 签名 验证 协议 。 对 于 A 签署 的 消息 签名 对 (x,y) EG, 执 行 以 下 操作 : 

Q@ B 随机 选择 e ,es EZi ,计算 c= 二 ypB* mod p。 

@ A 计算 d=c mis mod p 发 给 B。 

@ B 验证 d 三 zm%a* mod p, 若 成 立 , 则 签名 有 效 ,否则 无 效 。 

解释 : 消息 (1) 是 B 生 成 的 “挑战 "。 消 息 (2) 只 有 A 能 正确 “应 答 ”, 因 为 “应 答 ” 需 要 
使 用 私 钥 a, 只 有 A 知道 。 消 息 (3) 验 证 “应 答 ” 的 正确 性 , 易 知 : 

d= = (ypB' )” = za mod p 

验证 协议 有 一 定 的 错误 率 。 一 个 伪造 的 签名 ( 即 不 是 A 签署 的 签名 ) 却 被 A 证 明 是 
有 效 的 概率 很 小 , 换 句 话说 ,在 不 知道 签名 私 钥 的 情况 下 ,证 明 签名 有 效 的 概率 很 小 ,最 多 
为 1/q, 且 该 结论 不 依赖 于 任何 计算 假设 , 即 安全 性 是 无 条 件 的 。 

定理 9.1 如 果 y 不 是 真实 的 签名 , 即 y 关 x mod p, 但 B 认 为 y 是 有 效 签名 ,这 种 情 
况 的 概率 最 多 为 1/g。 

证 明 : A 在 “应 答 ” 时 由 于 不 知道 私 钥 a. 采 取 随 机 猜测 一 个 a ! 的 办 法 , 易 知 猜测 成 
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功 的 概率 为 1/g。 

否认 (disavowal) 协 议 用 于 证 明 一 个 伪造 的 签名 是 假 的 ,其 实 由 两 轮 验 证 协议 组 成 。 

(1) B 随机 选择 el ,es E2Z,, 计 算 c= 二 yrB* mod p。 

(2) A 计算 d=c "ir mod p 发 给 B。 

(3) B 验证 d 三 x%a* mod p ,发 现 不 成 立 。 

(4) B 随机 选择 el ,esE2Z,, 计 算 c = 二 y%B% mod p。 

(5) A 计算 d= 二 cr "ue mod pp 发 给 B。 

(6) B 验证 d' 圭 x4a% mod p ,发现 又 不 成 立 。 

(7) 当 且 仅 当 (da-%“)4 寺 (dla 习 )% mod p 成 立时 ,B 判断 签名 y 是 伪造 的 。 

解释 : B 在 步骤 (3) 和 步骤 (6) 发 现 A 两 次 “应 答 ” 都 不 对 时 ,主要 面临 两 种 可 能 : 一 
种 是 签名 是 伪造 的 ,A 两 次 都 诚实 地 “应 答 ”( 即 使 用 47! 进行 计 算 后 应 答 ) ,但 都 不 能 验证 
通过 ; 另 一 种 是 签名 是 真实 的 ,A 两 次 都 故意 错误 地 “应 答 ”( 在 知道 a 的 情况 下 使 用 a”! 
(a 天 oa) 来 应 答 ) , 想 证 明 签名 是 伪造 的 。 这 两 种 可 能 通过 第 (7) 步 来 分 辨 如 果 (7) 中 的 
等 式 成 立 , 说 明 是 前 一 种 情况 ;如 果 (7) 中 等 式 不 成 立 ,说 明 是 后 一 种 情况 。 因 此 ,步骤 (7) 
又 叫 “ 一 致 性 检查 ”。 

于 是 ,协议 要 完成 两 个 目的 : 

(1) 如 果 签 名 是 伪造 的 , 则 A 能 证 明 签名 是 伪造 的 。 

(2) 如 果 签 名 不 是 伪造 的 ( 即 是 A 签署 的 ),A 想 证 明 签名 是 伪造 的 可 能 性 很 小 ( 即 
“不 可 否认 ”的 可 能 性 很 大 )。 

先 讨论 第 一 种 情况 。 由 于 签名 是 伪造 的 ,虽然 A 是 诚实 地 “应 答 ”, 但 A 的 两 次 “应 
答 ” 都 不 对 ,都 不 能 通过 验证 方程 。 但 是 ,两 次 “应答 ? 满 足 (dae-“)4=(d'e 2)a mod p， 
说 明 A 知道 签名 私 钥 a, 因 为 A 成 功 地 约 去 了 B。 具 体 而 言 : 

(da )4 = (yp® )7 oa) 三 yi eiBe a 
ss ya modp 
(dla) = (Cy% Be )” oa)a 三 yi eB a orea 
=y 4 modp 

如 果 A 不 诚实 , 即 A 想 让 签名 通过 验证 ,必须 猜测 签署 签名 的 私 钥 , 猜 中 的 可 能 为 
1/gq, 这 已 经 在 定理 9. 1 中 讨论 过 。 

对 于 第 二 种 情况 。 签 名 不 是 伪造 的 ,但 A 故意 错误 地 回答 了 两 次 “应 答 ”, 想 让 B 相 
信 签名 是 伪造 的 。 即 让 步骤 (7) 中 的 一 致 性 检测 通过 ,等 式 (da-%“)% 三 (d'a-%)% mod p 
满足 。 这 种 情况 可 能 性 非常 小 ,为 1/g。 换 句 话 说 ,不 能 通 一 致 性 检查 的 概率 很 高 ,为 
一 

定理 9.2 如 果 签 名 真实 , 且 B 遵守 否认 协议 ,A 两 次 “应 答 ” 都 不 能 通过 验证 方程 ， 
即 d 寺 x%a* mod p 不 成 立 ,d' 圭 x4a*? mod p 不 成 立 , 但 (da “) 圭 (d'a%)% mod p 却 
是 成 立 的 ,这 种 情况 的 概率 很 小 ,为 1/g。 

证 明 : 显然 ,A 两 次 “应 答 ” 故 意 错误 地 回答 了 d 和 d 。 即 有 

d modp8AAxra? modp 
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cd mod p87xar modp 
但 是 ,又 同时 有 
(da™*) i=(da*)" modp 

下 面 证 明 这 种 情况 的 概率 很 小 ,为 1/g。 

A 故意 用 不 等 于 一 的 两 个 值 来 计算 应 答 ,粗略 地 说 ,两 者 有 4 种 可 能 ,d( 以 及 qd ) 的 
值 有 4 种 可 能 ,(da“%)%mod p 和 (dq)% mod p 均 有 g 种 可 能 ,两 者 相等 的 概率 为 
l/g。 

具体 而 言 ,A 可 以 试图 选取 不 等 于 a 的 ,rs ,然后 使 得 两 次 应 答 错误 ,但 又 要 通过 
一 致 性 检测 ,于 是 需要 满足 如 下 等 式 ， 


Veinida a 一 yr ger) 
st 
令 y==a', 于 是 有 
qn aedcri-D = gn gd-D 
有 / 
teirie1t+ ezei(ari—1)= teirzeteze(ars —1) 


/ / / RA / 
(teliel 十 ezela)mi 一 ezel 一 (telel 十 ezelda)ra 一 ezel 


/ / 0 / / / 

本 (telel 十 ezeld)i2 十 ezel 一 ezel tere 十 ezela, ea2el 

» a Ta 7 K 2 7 7 
teie1t ezeia teie1t ezeia teie1t eze 1a 


A 在 选取 ,rs 时 ,只 要 不 等 于 e 并 满足 上 述 关系 , 即 可 在 两 次 应 答 错误 的 情况 下 满足 
一 致 性 条 件 。 显 然 ,B 在 不 知道 el ,ei ,es ,es,t 的 情况 下 ,满足 上 述 等 式 的 概率 为 1/g。 


9.4 失败 停止 签名 


失败 -停止 (fail-stop) 签 名 的 概念 是 由 B.Pfitzmann 和 M. Waidner 于 1991 年 提出 
的 ,1992 年 van Heyst 和 Petersen 提出 一 个 具体 的 方案 。 它 可 以 防范 有 强大 计算 能 力 的 
攻击 者 ,一旦 该 攻击 者 伪造 了 一 个 有 效 的 签名 , 则 签名 者 马上 可 以 证 明 攻 击 者 的 签名 是 伪 
造 的 ,这 就 是 “失败 -停止 "一 词 的 来 历 。 该 签名 可 用 于 电子 现金 系统 来 防止 银行 伪造 顾客 
的 签名 ,这 对 于 需要 进行 大 量 现 金 交易 的 用 户 而 言 是 十 分 重要 的 。 
下 面 介绍 van Heyst 和 Petersen 签名 方案 。 
(1) 参数 生成 。g 是 一 个 大 素数 ,p 二 2q 十 1 也 是 一 个 大 素数 ,Z ;上 的 离散 对 数 问题 
是 困难 的 。 设 aEZ; 是 一 个 阶 为 g 的 元 素 。 设 1ao 二 gq 一 1, 令 BB 二 a% mod p。 值 p,g， 
asB 和 a。 由 可 信和 中心 选择 , 值 p,qg,a,B 是 公 钥 ,ao 是 对 包括 签名 人 在 内 的 人 都 保密 的 可 
信 中 心 的 私 钥 。 
签名 人 的 私 钥 为 任 选 的 (oa ,a,b1,6;)EZ,, 公 钥 为 (7, ,7,) ,其 中 : 
7 一 amp mod 力 ， 7 一心 po modp 
(2) 签名 生成 。 对 于 消息 zEZ,. 定 义 签名 为 Sign(z) 一 (yyz), 其 中 ， 
yi 一 ai 十 码 modg, ys 一 az 十 功 : modg 
(3) 签名 验证 。 给 定 消息 签名 (zx,y1,y2) EZ,XZ,XZ,， 
Vrfy(Cz,yiyyz) = True SN a"pB”* modp 
为 了 解释 失败 -停止 的 特性 ,下 面 依次 介绍 该 签名 的 特点 。 
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(1) 一 个 签名 公 钥 对 应 多 个 签名 私 钥 。 对 于 公 钥 (yi ,7y) 而 言 ,有 gq? 个 私 钥 (al ,as ， 
bi ,0 ) 与 之 对 应 。 由 Ea =a‘teorz) »Y2 =ad tot) ， 自 变量 为 (ai »az2 sb ,bs) EZ ,, 两 个 方程 
为 约束 条 件 ,于 是 可 变 的 自 变量 只 有 两 个 。 

(2) 给 定 一 个 消息 签名 对 (z,wm ,y)EZ,XZ,XZ,, 有 9 个 密 钥 可 以 满足 验证 方程 。 


显然 ,只 要 满足 以 下 约束 条 件 : 
力 一 aap modp 
ys 一 内 pe mod p 
1 一 十 友 modg 
yz =a: modg 
即 可 通过 验证 方程 。 


简单 地 说 , 自 变量 为 (a1 ,az,b1 ,bs,ao)E2Z,, 约 束 条 件 为 4 个 (至 少 3 个 线性 无 关 , 判 
定 留 作 练 习 ) , 故 可 变 的 自 变量 只 有 一 个 。 

(3) 签名 人 Alice 给 出 一 个 消息 签名 对 (x,y1,ys)EZ,XZ,XZ,, 敌 手 猜测 出 另 一 
个 消息 x 隆 z 的 签名 的 概率 为 1/g。 这 是 (2) 的 直接 推论 ,因为 有 g 个 密 钥 可 以 满足 关于 
z 的 签名 的 验证 方程 ,其 中 只 有 一 个 是 签名 人 Alice 的 签名 私 钥 。 注 意 ,这 一 结论 是 无 条 
件 的 ,不 管 敌手 的 计算 能 力 有 多 大 。 

(4) 签名 人 Alice 发 现 敌 手 能 给 出 一 个 关于 消息 z 的 不 同 的 签名 (zx,yi ,ys), 即 不 同 
于 Alice 给 出 的 签名 Cz,yi ,yz), 则 Alice 可 以 立刻 证 明 这 个 签名 是 伪造 的 ,于 是 “停止 ”。 
这 也 称 为 “伪造 证 明 ”( 即 证 明 签 名 是 伪造 的 ) 算 法 。 

伪造 证 明 的 方法 是 : 伪造 签名 (z,yi,y?) 通 过 了 验证 方程 ,有 X17 二 a” Bp*% mod p， 
(zyyiyyz) 是 Alice 签署 的 合法 签名 ,有 三 a”B* mod 户 , 于 是 有 op 三 op mod p， 
令 8 一 am mod 户 ,有 axi+o% 王 oa+oo mod p: 即 yi 十 qo 三 yi 十 aoyz mod dg, 由 于 (zy 
是 伪造 的 , 故 ys mod g 隆 ys mod dg, 因此 ,(y% 一 >)-: mod g 存在 ,于 是 Alice 可 算出 

ao 一 log8 = (%1 —y1)(ys— ys)! modg 

Alice 向 可 信和 中心 表明 对 ae 的 拥有 ,这 违反 了 Alice 不 能 计算 离散 对 数 问题 这 一 假 
设 ,于 是 证 明了 消息 签名 对 (z,yi,y ) 是 伪造 的 。 可 信 中 心 可 以 更 换 wo ,从 而 改变 8, 签 名 
人 的 公 钥 随 之 改变 。 

(5) 该 签名 是 一 次 性 签名 方案 (类 似 Lamport 签名 方案 ) ,给 定 一 个 密 钥 只 能 签署 一 
个 消息 。 如 果 (Cz,y,y),(Cz,yi,y) 使 用 相同 的 签名 密 钥 Ca ,az , ,bs )EZ,( 相 应 公 钥 
为 (71 ,7,)) 对 不 同 消息 zx 和 xz 的 签名 , 则 有 

Ni =anpB"*: modp yz 一 opB2 modp 


N=a+t+rb modg ys 一 aa 十 zos modg 
y=a+rxb modg ys= as+zxb: modg 
易 知 ,由 于 xz 关 x ,从 后 面 4 个 方程 可 以 解 出 未 知 数 (ai ,as,b,b,), 进 而 通过 前 两 个 
方程 可 以 解 出 oo 。 
除 上 述 外 ,还 有 其 他 高 级 签名 方案 ,简介 如 下 : 
群 签 名 (group signature) : 1991 年 ,Chaum 和 Heyst 首次 提出 群 签名 的 概念 ,也 称 
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为 组 签名 。 群 签名 允许 组 中 合法 用 户 以 用 户 组 的 名 义 签名 ,具有 签名 者 匿名 的 特点 。 但 
与 环 签名 的 完全 匿名 性 不 同 ,组 管理 员 可 以 在 必要 时 辨认 签名 者 身份 , 即 具有 可 追踪 性 
(有 限 匿名 性 )。 换 句 话 说 ,由 个 体 代 表 群 体 执行 签名 ,验证 者 从 签名 不 能 判定 签名 者 的 真 
实 身份 ,但 能 通过 群 管理 员 查 出 真实 的 签名 者 。 

门限 签名 (threshold signature) 。 由 Desmedt 和 Frankel 提出 ,是 一 种 基于 “秘密 共 
享 ” 思 想 的 数字 签名 , 它 的 生成 必须 由 多 个 成 员 合作 才能 完成 ,但 它 的 验证 只 需要 知道 群 
体 的 公开 密 钥 即 可 。Desmedt 等 人 提出 了 (zt,n) 门 限 签名 方案 。 在 该 方案 中 ,n 个 成 员 各 
自 拥 有 整个 群体 的 签名 密 钥 的 秘密 份额 ,使 得 任何 多 于 +t 个 成 员 的 子 集 可 以 代表 群体 产 
生 签名 ,而 任何 少 于 +t 个 成 员 的 子 集 则 不 能 产生 签名 。 即 为 了 给 消息 m 签名 ,至 少 要 1 个 
组 成 员 合 作 。 当 1 二 1 时 ,门限 签名 就 是 群 签名 。 当 1 二 n 时 ,门限 签名 就 是 多 重 签名 。 

签名 加 密 ( 又 叫 签 密 ,signcryption) : 一 种 签名 中 带 有 加 密 的 数字 签名 形式 , 它 的 系 
统 和 传输 开销 要 小 于 先 签名 后 加 密 两 者 的 和 。 该 技术 能 同时 达到 签名 和 加 密 双 重 目的 。 

前 向 安全 (forward security) 签 名 : 1997 年 的 Eurocrypt 会 议 上 ,R. Anderson 提出 
了 前 向 安全 数字 签名 的 概念 。 主 要 是 考虑 了 密 钥 的 安全 性 ,签名 私 钥 能 按时 间 段 不 断 更 
新 ,而 验证 公 钥 却 保 持 不 变 。 攻 击 者 不 能 根据 当前 时 间 段 的 私 钥 推算 出 先前 任何 一 个 时 
间 段 的 私 钥 ,从 而 不 能 伪造 过 去 时 间 段 的 签名 ,对 先前 的 签名 进行 了 保护 。 这 种 思想 能 应 
用 到 各 种 类 型 的 签名 中 ,提高 系统 的 安全 人性。 

变色 龙 签 名 (chameleon signature) 是 H. Krawczyk 和 T. Rabin 于 2000 年 引入 的 一 
种 特殊 的 数字 签名 。 先 对 消息 散 列 ,后 进行 签名 。 其 名 字 来 源 就 是 使 用 了 名 为 
Chameleon 的 散 列 函数 。Chameleon 散 列 函数 具有 一 个 公 钥 和 对 应 的 私 钥 , 通 常 称 该 私 
钥 为 陷 门 信息 。 散 列 函 数 具有 如 下 性 质 : 任何 掌握 其 公 钥 的 人 都 可 以 使 用 该 散 列 函数 来 
计算 散 列 值 ,在 不 掌握 陷 门 信息 的 情况 下 ,该 散 列 函数 是 抗 碰撞 的 ;但 掌握 陷 门 信息 后 ,给 
定 一 个 散 列 值 输出 ,容易 找到 另外 一 个 输入 ,使 其 散 列 值 相 等 。 因 此 ,签名 者 使 用 接收 方 
的 Chameleon 散 列 函数 五 , 即 日 的 陷 门 信息 只 有 接收 方 知道 。 那 么 ,签名 具有 如 下 性 
质 : 签名 者 不 可 抵赖 ;接收 方 不 可 能 把 签名 出 示 给 第 三 方 而 使 第 三 方 相信 。 因 为 接收 方 
掌握 陷 门 信息 ,可 以 轻易 地 产生 冲突 信息 ,所 以 其 他 人 都 不 能 确定 该 签名 是 否 由 签名 者 所 
签 。 由 于 散 列 函数 瓦 是 接收 方 的 , 故 同一 消息 对 不 同 的 接收 方 要 使 用 不 同 的 散 列 函数 ， 
所 以 对 不 同 的 接收 方 都 要 进行 签名 ,而 不 是 只 签名 一 次 。 

传递 签名 (transitive signature) : 由 Micali 和 Rivest 在 2002 年 首次 提出 ,实际 上 是 
一 种 特殊 的 具有 同 态 特征 的 签名 ,主要 用 于 对 具有 传递 性 的 二 元 关系 进行 高 效 签名 。 考 
虑 一 个 表示 可 传递 二 元 关系 的 图 G(V,E) ,传递 签名 是 这 样 的 一 个 签名 方案 ,签名 者 
Alice 对 图 G 的 边 进行 签名 ,使 得 任何 人 只 要 得 到 Alice 对 边 (u,v) 和 (v,w) 的 签名 ,无 须 
知道 签名 私 钥 就 可 简单 地 计算 出 关于 边 (x,z) 的 签名 ,而 且 这 样 产 生 的 签名 与 由 Alice 产 
生 的 签名 不 可 区 分 。 


委 


本 部 分 介绍 了 数字 签名 知识 的 扩展 。 主 要 是 具有 附加 功能 的 签名 方案 。 本 部 分 涉及 
的 知识 点 如 下 所 示 


Chaum 盲 签名 一 一 ~Schnorr 盲 签名 一 ~Neberg-Rueppel 盲 签名 


ElGamal 型 盲 签名 
ElGamal 盲 签名 的 一 般 构造 方法 盲 签 名 的 应 用 


不 保护 代理 的 代理 签名 
保护 代理 的 代理 签名 

广播 多 重 数字 签名 
顺序 多 重 数字 签名 


盲 签名 | 


代理 签名 | 


乡 重 数 字符 名 | 


环 签名 

制定 验证 者 签名 一 一 Saeednia-Kremeer-Markowitch 签名 方案 
不 可 否认 签名 一 一 Chaum-van Antwerpen 签名 方案 

失败 停止 签名 


其 他 数字 签名 


本 部 分 的 重点 是 盲 签名、 代理 签名 和 多 重 签名 ,难点 是 不 可 否认 签名 和 失败 停止 
签名 。 


扩展 阅读 建议 


更 多 关于 签名 的 集中 论述 可 以 参见 如 下 参考 文献 。 

赵 泽 茂 . 数字 签名 理论 . 北京 : 科学 出 版 社 ,2007.( 各 种 具有 附加 属性 的 签名 的 集中 
介绍 ) 

曹 正 军 , 刘 木兰 . 唯 签名 的 数字 签名 模型 的 分 类 . 中 国 科学 E,2008,38(2): 223-235. 
(讨论 签名 模型 的 分 类 ) 

曹 珍 富 . Classification of signature-only signature models. http://eprint. iacr. org/ 
2006/164 ,2006-05. 

Guilin Wang. Bibliography on digital signatures. http://www. uow. edu. au/~ 
guilin/bible. htm. 

H. Lipmaa. Cryptographic signature schemes. http://www. adastral. ucl. ac. uk/ 


helger/crypto/link/signature. 
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1. 密码 协议 的 概念 

密码 协议 (cryptographic protocol) 是 以 密码 算法 为 基础 的 协议 ,也 称 为 安全 协议 。 
协议 是 指 双方 或 者 多 方 为 完成 一 项 任务 所 进行 的 一 系列 有 序 步 骤 。 因 此 ,一 个 人 执行 一 
系列 步骤 不 构成 协议 ;必须 完成 一 项 任务 ,否则 不 是 协议 。 步 骤 是 有 序 的 ,每 一 步 必 须 依 
次 执行 ,前 一 步 完成 之 前 ,后 一 步 不 能 执行 。 协 议 一 般 具 有 以 下 特点 : 

(1) 协议 中 的 每 一 方 都 必须 了 解 协议 ,并 且 预 先知 道 所 要 完成 的 所 有 步骤 。 

(2) 协议 中 的 每 一 方 都 必须 同意 并 遵循 它 。 

(3) 协议 必须 是 清楚 的 ,每 一 步 必 须 明确 定义 ,并 且 不 会 引起 歧义 。 

(4) 协议 必须 是 完整 的 ,对 每 种 可 能 的 情况 必须 规定 具体 的 动作 。 

下 面 是 一 个 简单 的 分 苹果 协议 。 有 两 方 参与 者 A 和 也 ,完成 公平 分 苹果 的 任务 , 执 
行 如 下 协议 : (DA 将 苹果 切 成 两 份 ; @B 选择 其 中 一 份 作为 自己 应 得 ; @A 取 剩 下 的 一 
份 作为 自己 应 得 。 该 协议 也 称 为 “分 割 -选择 ”协议 。 

2. 构成 单元 

密码 协议 的 基本 构成 单元 是 密码 算法 ,主要 包括 4 个 方面 : 

(1) 公 铀 密码 算法 ,在 分 布 式 环境 中 实现 高 效 的 密 钥 分 发 、 密 钥 协 商 和 实体 认证 。 

(2) 对 称 密 钥 算法 ,高 效率 的 实现 信息 的 保密 性 。 

(3) 散 列 函数 ,实现 协议 中 的 消息 完整 性 。 

(4) 随机 数 发 生 器 ,为 每 个 参与 者 提供 随机 数 。 

3. 分 类 

协议 可 从 以 下 几 个 方面 进行 分 类 : 

(1) 按 协 议 的 轮 数 ,分 为 2 轮 协议 .3 轮 协议 …… nn 轮 协议 。 

(2) 按 协 议 的 功能 ,分 为 身份 识别 协议 、 实 体 认证 协议 、 密 钥 分 配 协 议 、 密 钥 协 商 协 
议 、 身 份 识别 与 密 钥 建立 协议 、 秘 密 共 享 协议 、 不 经 意 传输 协议 和 电子 商务 协议 等 。 

(3) 按 协 议 应 用 的 目标 ,分 为 选举 协议 、 拍 卖 协议 和 支付 协议 等 。 

(4) 按 协 议 的 交互 性 ,分 为 交互 协议 和 非 交互 协议 。 

(5) 按 协 议 的 第 三 方 性 质 , 分 为 仲裁 协议 裁决 协 议和 自动 执行 协议 。 

(6) 按 协 议 的 复杂 性 ,分 为 基础 协议 (如 上 比特 承诺 协议 )、 中 级 协议 (如 零 知 识 协议 )、 
高 级 协议 (如 安全 多 方 计算 协议 )。 
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4. 密码 协议 的 设计 原则 

如 果 能 在 密码 协议 的 设计 阶段 就 充分 考虑 到 一 些 不 当 的 协议 结构 可 能 威胁 协议 的 安 
全 性 ,并 加 以 避免 ,将 事半功倍 。Martin Abadi 和 Roger Needham 提出 了 设计 协议 应 当 
遵守 的 一 些 原 则 。 

(1) 消息 独立 完整 性 原则 。 协 议 中 的 每 条 消息 都 应 能 够 准确 地 表达 出 它 所 想 要 表达 
的 含义 。 一 条 消息 的 解释 应 完全 由 其 内 容 来 决定 ,而 不 用 借助 于 上 下 文 来 推断 。 假 设 协 
议 的 一 个 步骤 是 A 一 B: M, 想 表达 A 把 消息 M 发 给 B。 但 因为 消息 M 没 有 与 A 和 了 BB 绑 
定 , 光 从 M 看 不 出 是 由 人 A 发 给 也 的 ,要 借助 上 下 文 来 分 析 。 这 样 攻击 者 可 能 利用 这 一 点 
发 起 攻击 。 

(2) 消息 前 提 准 确 原则 。 与 消息 相关 的 先决 条 件 应 当 明 确 给 出 ,并 且 其 正确 性 与 合 
理性 应 能 得 到 验证 。 这 一 原则 是 在 上 一 原则 基础 上 的 进一步 要 求 , 不 仅 要 考虑 消息 本 身 ， 
还 要 考虑 与 每 条 消息 相关 的 条 件 是 否 合理 ,每 条 消息 所 基于 的 假设 是 否 能 够 成 立 。 

(3) 主体 身份 标识 原则 。 如 果 一 个 主体 的 标识 对 于 某 个 消息 的 含义 是 重要 的 ,就 应 
当 在 消息 中 明确 地 附加 上 主体 的 名 称 。 主 体 的 名 称 可 以 是 显 式 的 , 即 以 明文 形式 出 现 , 也 
可 以 是 隐 式 的 , 即 采用 加 密 或 签名 技术 对 主体 名 称 进行 保护 。 

(4) 加 密 目 的 原则 。 明 确 加 密 的 目的 ,否则 将 造成 宛 余 。 密 码 算法 的 不 正确 应 用 可 
能 导致 协议 出 现 错 误 。 因 此 ,应 用 密码 算法 时 ,必须 知道 使 用 的 理由 和 使 用 的 正确 方法 。 

(5) 签名 原则 。 签 名 可 以 确保 数据 的 真实 性 和 抗 抵赖 性 。 如 果 需 要 同时 采用 签名 和 
加 密 , 应 当 采 用 先 签 名 后 加 密 的 方式 。 应 当 对 数据 的 散 列 值 进行 签名 ,不 直接 对 数据 
签名 。 

(6) 随机 数 的 使 用 原则 。 在 协议 中 使 用 随机 数 可 以 提供 消息 的 新 鲜 性 。 但 是 在 使 用 
随机 数 时 ,应 当 明确 其 所 起 的 作用 和 属性 。 随 机 数 应 当 保 证 良好 的 随机 性 。 

(7) 时 间 戳 的 使 用 原则 。 当 使 用 时 间 惟 时 ,必须 考虑 各 个 计算 机 的 时 钟 与 标准 时 钟 
的 误差 ,这 种 误差 不 应 当 影 响 协议 执行 的 有 效 性 。 时 间 戳 的 应 用 十 分 依赖 系统 中 时 钟 的 
同步 ,但 是 这 在 实际 中 是 不 容易 做 到 的 。 

(8) 编码 原则 。 协 议 中 消息 的 编码 格式 与 协议 安全 密切 相关 ,应 当 明 确 协 议 中 消息 
的 具体 数据 格式 ,而 且 还 要 验证 这 种 格式 对 安全 的 贡献 。 

(9) 最 少 安全 假设 原则 。 在 进行 协议 设计 时 ,常常 要 对 系统 环境 进行 风险 分 析 , 做 出 
适当 的 初始 安全 假设 ,如 认为 所 采用 的 密码 算法 是 安全 的 ,认证 服务 器 是 可 信 的 等 。 但 
是 ,初始 的 安全 假设 越 多 ,协议 的 安全 性 就 越 差 。 这 是 因为 ,一 旦 初始 的 安全 假设 的 安全 
性 受到 威胁 ,将 直接 影响 协议 的 安全 性 。 因 此 ,协议 设计 时 应 当 采 用 最 少 安全 假设 原则 。 

5. 密码 协议 的 安全 分 析 

协议 安全 分 析 的 目的 就 是 揭示 协议 是 否 存在 安全 漏洞 和 缺陷 ,主要 采用 形式 化 的 分 
析 方 法 ,即将 协议 的 描述 形式 化 ,借助 于 人 工 和 计算 机 分 析 推 理 来 判断 协议 是 否 安全 。 它 
不 仅 能 够 发 现 已 知 的 安全 漏洞 和 缺陷 ,还 能 发 现 未 知 的 安全 漏洞 和 缺陷 。 协 议 的 形式 化 
分 析 方法 主要 有 3 类 : 

(1) 形式 逻辑 方法 。 它 是 一 种 基于 知识 的 推理 分 析 方 法 。 以 BAN 这 辑 为 代表 ,运用 
推理 规则 进行 分 析 , 如 最 终 的 知识 语句 集合 中 不 包含 所 要 得 到 的 目标 知识 语句 时 ,就 说 明 
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协议 存在 安全 缺陷 。 

(2) 模型 检测 方法 。 基 本 思想 是 把 协议 看 成 一 个 分 布 式 系统 ,每 个 主体 执行 协议 的 
过 程 构成 局 部 状态 ,所 有 局 部 状态 构成 系统 的 全 局 状态 。 每 个 主体 的 收发 动作 都 会 引起 
局 部 状态 的 改变 ,从 而 也 就 引起 全 局 状态 的 改变 。 在 系统 可 达 的 每 一 个 全 局 状态 检查 协 
议 的 安全 属性 是 否 得 到 满足 ,如 果 不 满足 , 则 检测 到 协议 的 安全 缺陷 。 模 型 检测 方法 已 被 
证 明 是 一 种 非常 有 效 的 方法 ,具有 自动 化 程度 高 ,检测 过 程 不 需要 人 工 参 与 ,协议 存在 安 
全 缺陷 时 能 自动 产生 反例 等 特点 。 但 由 于 该 方法 采用 穷 举 搜索 存在 攻击 的 所 有 可 能 的 执 
行路 径 , 容 易 产生 状态 空间 爆炸 问题 。 

(3) 定理 证 明 方法 。 该 方法 试图 证 明 协 议 满足 安全 属性 ,而 不 是 寻找 对 协议 的 攻击 。 
代表 性 的 方法 有 SPI 演算 方法 .归纳 方法 、 串 空间 方法 等 。 
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本 章 介绍 用 于 允许 一 方 (验证 者 ) 得 到 另 一 方 (声称 者 ) 所 声称 的 “实体 ”的 保证 技术 ， 
由 此 可 防止 身份 假冒 。 例 如 , 当 用 户 A 登录 到 计算 机 (或 者 自动 取款 机 、 电 话 银行 等 ) 时 ， 
计算 机 怎么 知道 他 不 是 由 其 他 人 假冒 的 呢 ? 特 别 是 在 开放 的 网 络 环境 下 ,该 问题 尤为 突 
出 。 验 证 者 最 常用 的 技术 是 检测 用 来 证 明 声称 者 拥有 和 真实 方 相关 联 的 秘密 的 正确 性 。 
这 种 计算 包括 身份 识别 (identification) ,实体 认证 (Centity authentication) 和 身份 验证 
(identity verification)。 与 身份 识别 相关 联 的 概念 包括 消息 源 鉴 别 (data-origin 
authentication, 如 基于 对 称 密 码 的 消息 鉴别 码 和 基于 公 钥 的 数字 签名 ) 和 认证 的 密 钥 建 
立 Cauthenticated key agreement, 即 密 钥 建立 之 前 先 验证 密 钥 建 立 双方 实体 的 真实 性 ) 。 

值得 思考 的 一 个 问题 是 : 实体 认证 与 消息 鉴别 有 何 异 同 。 

实体 认证 和 消息 鉴别 的 主要 不 同 在 于 : 消息 鉴别 在 产生 消息 时 ,本 身 不 提供 时 效 性 
保证 ,而 实体 认证 一 般 是 实时 的 ,能 保证 协议 执行 时 确认 声称 者 实体 。 实 体 认 证 通常 证 实 
实体 本 身 , 而 消息 鉴别 除了 鉴别 消息 源 和 验证 完整 性 外 ,通常 关心 消息 的 具体 内 容 。 换 言 
之 ,实体 认证 所 涉及 的 通常 是 没有 意义 的 消息 ,消息 鉴别 涉及 的 是 特定 实体 所 声称 的 有 意 
义 的 消息 。 认 证 的 密 钥 建 立 协议 包括 实体 认证 协议 和 密 钥 建立 协议 两 个 部 分 , 密 钥 建 立 
本 质 上 是 消息 认证 ,其 中 消息 就 是 密 钥 。 实 体 认证 和 消息 鉴别 的 联系 在 于 ,在 实体 认证 协 
议 中 将 实体 的 身份 当 作 一 条 消息 来 处 理 , 这 样 就 可 以 使 用 消息 鉴别 机 制 来 实现 实体 认证 ， 
这 也 是 构造 实体 认证 协议 的 一 种 合适 的 方法 。 

本 章 首先 介绍 实体 认证 与 身份 识别 的 概念 ;然后 介绍 基于 口令 的 实体 认证 ,基于 “ 挑 
战 应 答 ” 协 议 的 实体 认证 ,主要 利用 对 称 密码 加 密 、 公 钥 密 码 加 密 、 散 列 函 数 等 基本 模块 来 
构造 协议 ;最 后 介绍 身份 识别 协议 ,主要 基于 零 知识 证 明 的 方法 来 构造 。 


10.1 实体 认证 与 身份 识别 概述 


1011 实体 认证 的 基本 概念 


身份 识别 协议 的 一 般 设置 涉及 声称 者 (或 证 明 者 ,claimant)A 和 验证 者 (verifier)B。 
验证 者 表现 或 预先 假定 为 声称 者 所 声称 的 身份 。 目 的 是 确认 声称 者 的 身份 的 确 是 A, 即 
提供 实体 认证 。 

定义 10.1 实体 认证 是 一 个 过 程 , 即 其 中 一 方 (通过 获得 证 实 的 证 据 ) 确 信 参 与 协议 
的 另 一 方 的 身份 ,并 确信 另 一 方 真 正 参 与 了 该 过 程 ( 即 在 证 据 获得 之 时 或 之 前 是 活动 的 ) 。 
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实体 认证 的 基础 。 实 体 认 证 根据 认证 的 依据 可 分 为 三 大 类 : 

(1) 已 知 的 事物 (knowledge)。 例 如 口令 ` 个 人 识别 码 PIN 以 及 在 挑战 应 答 协 议 中 
已 被 证 实 的 秘密 或 私 钥 。 

(2) 已 拥有 的 事物 (possession)。 通 常 是 物理 器 具 , 如 磁卡 、 蕊 片 卡 、 智 能 卡 以 及 提供 
按时 间 变 化 的 口令 的 手持 式 定制 计算 机 器 (口令 生成 器 ) 。 

(3) 固有 事物 (characteristics) 。 包 括 利 用 人 类 生理 特征 的 方法 ,如 手写 签名 、 指 纹 、 
声音 .虹膜 .手掌 纹 等 特征 。 这 些 技术 通常 是 非 密码 学 的 ,这 里 不 作 进一步 讨论 。 
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1. 身份 识别 协议 的 目的 

从 验证 者 的 角度 ,身份 识别 协议 的 结果 或 者 接受 声称 者 的 身份 是 可 信和 的 (完全 接受 )， 
或 者 是 终止 接受 (拒绝 )。 具 体 而 言 ,身份 识 别 协议 的 目的 有 以 下 3 个 : 

(1) 就 诚实 方 A 和 B 而 言 ,A 可 成 功 地 向 B 认证 他 自己 , 即 B 完成 协议 接受 A 的 
身份 。 

(2) 不 可 传递 性 (non-transferability)。B 不 能 重新 使 用 和 A 交换 的 身份 识别 协议 来 
成 功 地 向 第 三 方 C 假 冒 A。 

(3) 假冒 (impersonation)。 任 何不 同 于 A 的 实体 C 执行 协议 并 担当 A 的 角色 ,使 得 
B 完成 协议 接受 A 的 身份 的 概率 可 忽略 。 

上 述 几 点 永 真 ,即使 A 和 B 之 间 大 量 (多 项 式 数 量 ) 的 认证 被 观察 到 ;敌手 C 参与 了 
与 A 和 B 一 方 或 双方 的 上 述 协 议 的 执行 ;由 C 发 起 的 协议 的 多 个 实例 可 能 同时 运行 。 

2. 身份 识别 协议 的 性 质 

身份 识别 协议 有 许多 特性 ,通常 包括 以 下 几 个 : 

(1) 身份 识别 的 交互 性 。 一 方 或 双方 可 以 确认 其 他 方 的 身份 ,分 为 单 向 认证 或 者 双 
向 认证 。 

(2) 计算 效率 。 执 行 协议 所 需要 的 计算 量 。 

(3) 通信 效率 。 包 括 传输 (消息 交换 ) 的 步 数 和 需要 的 带宽 (总 传输 的 比特 数 ) 。 

3. 身份 识别 与 实体 认证 的 区 别 

身份 识别 和 实体 认证 的 含义 基本 相同 ,很 多 地 方 没有 严格 区 分 两 者 ,其 含义 略 有 区 
别 : 身份 识别 只 是 声称 身份 ,而 实体 认证 则 是 确认 身份 。 两 者 之 间 有 着 微妙 的 关系 : 

(1) 从 概念 上 看 ,身份 识别 是 一 种 声称 自己 身份 的 行为 ,而 实体 认证 是 验证 所 声称 身 
份 真实 的 过 程 。 前 者 强调 声称 ,后 者 强调 验证 。 身 份 识别 中 ,所 声称 的 身份 信息 是 公开 
的 ;而 在 实体 认证 中 ,交互 双方 可 能 会 用 到 只 有 他 们 才 知 道 的 共享 秘密 信息 (如 口令 等 )。 

(2) 从 能 抵抗 的 威胁 来 看 ,对 于 实体 认证 , 当 声 称 者 和 验证 者 共享 秘密 需要 合作 的 时 
候 , 认 证 协议 只 能 抵抗 来 自 外 部 的 威胁 ,一 般 不 考虑 内 部 攻击 , 即 验证 者 不 诚实 的 情况 ; 身 
份 识别 协议 可 以 考虑 来 自 内 部 的 攻击 , 即 验证 者 可 以 是 不 诚实 的 。 

(3) 假设 两 类 协议 都 是 安全 的 , 则 从 协议 执行 结束 时 的 效果 来 看 ,对 于 实体 认证 , 声 
称 者 A 能 够 向 验证 者 B 证 明 自 己 确实 是 A, 设 计 目 标 是 : 其 他 人 则 无 法 冒充 A 使 B 相信 
其 正在 和 A 会 话 (但 B 可 以 假冒 A); 对 于 身份 识别 ,声明 自己 身份 的 A 可 以 使 验证 者 B 
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相信 他 确实 是 A, 但 B 事 后 无 法 使 其 他 人 相信 自己 是 A, 即 无 法 成 功 假冒 A。 即 设计 目标 
是 : 身份 可 识别 , 且 不 透露 任何 可 被 将 来 用 于 身份 假冒 的 信息 。 

(4) 从 使 用 场合 来 看 ,实体 认证 有 时 会 结合 密 钥 交换 一 起 使 用 以 产生 一 个 经 过 认证 
的 会 话 密 钥 ,而 身份 识别 则 一 般 不 考虑 具体 目的 。 


1013 对 身份 识别 协议 的 攻击 


对 身份 识别 协议 的 攻击 包括 如 下 方面 : 

(1) 假冒 。 一 个 实体 声称 是 另 一 个 实体 。 

(2) 重 放 攻击 。 针 对 同一 个 或 不 同 的 验证 者 ,使 用 从 以 前 执行 的 单个 协议 得 来 的 信 
息 进 行 假冒 或 其 他 欺骗 。 

(3) 交织 攻击 。 对 从 一 个 或 多 个 以 前 的 或 同时 正在 执行 的 协议 (并 行 会 话 ) 得 来 的 消 
息 进 行 有 选择 的 组 合 ,从 而 假冒 或 进行 其 他 欺骗 ,其 中 的 协议 包括 可 能 由 敌手 自己 发 起 的 
一 个 或 多 个 协议 。 

(4) 反射 攻击 。 从 正在 执行 的 协议 将 消息 发 送 回 该 协议 的 发 起 者 的 交织 攻击 。 

(5) 强迫 攻击 。 政 手 截获 一 个 消息 (一 般 包 括 一 个 序列 号 ) ,并 在 延迟 一 段 时 间 后 重 
新 将 该 消息 放 和 人 协议 ,是 协议 继续 ,此 时 强迫 延 时 发 生 。 

(6) 选择 挑战 攻击 。 是 对 挑战 -应 答 协 议 的 攻击 ,其 中 敌手 有 策略 地 选择 挑战 以 尝试 
提取 声称 者 的 长 期 密 钥 的 信息 。 选 择 挑战 攻击 是 指 将 声称 者 作为 一 个 预言 机 (oracle, 也 
有 文献 称 之 为 论 示 机 ), 即 获得 的 信息 不 能 单独 从 声称 者 的 公 钥 计算 出 来 。 假 如 协议 要 求 
声称 者 对 挑战 进行 加 密 或 者 计算 消息 鉴别 码 (MAC), 则 攻击 可 能 包含 选择 明文 攻击 ; 假 
如 协议 要 求 声称 者 对 挑战 进行 签名 , 则 攻击 可 能 包含 选择 消息 攻击 ;假如 协议 要 求 声称 者 
对 挑战 进行 解密 , 则 攻击 包含 选择 密 文 攻击 。 表 10. 1 给 出 了 对 身份 识别 协议 的 攻击 及 其 
应 对 措施 。 


表 10.1 对 身份 识别 协议 的 攻击 及 其 应 对 措施 


攻击 类 型 避免 攻击 的 原理 

重 放 用 挑战 -应 答 技 术 ; 使 用 临时 值 ;在 应 答 中 加 入 目标 身份 

交织 协议 运行 过 程 中 链接 所 有 信息 (使 用 链接 的 临时 值 ,例如 临时 值 = 递增) 

反射 在 挑战 -应 答 协 议 中 嵌入 目标 实体 的 标识 符 ; 用 每 个 不 同形 式 的 消息 构造 协议 (避免 消 


息 的 对 称 性 ); 单 向 密 钥 的 使 用 
选择 挑战 | 用 零 知 识 技 术 , 在 每 个 挑战 -应 答 中 嵌入 自选 择 的 随机 数 ( 混 淆 者 ) 
强迫 延 时 | 随机 数 与 短 应 答 超时 结合 使 用 ;时 间 戳 加 上 适当 的 附加 技术 


10.2 基于 口令 的 实体 认证 协议 


传统 的 基于 口令 的 认证 协议 (Password Authentication Protocol,PAP) 也 称 为 弱 认 
证 ,口令 简单 易 记 ,因而 是 一 种 使 用 广泛 的 认证 技术 ,特别 适用 于 用 户 远 程 访问 计算 机 系 
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统 的 模式 。 通 常 在 通信 连接 建立 的 阶段 进行 PAP 认证 。 由 于 其 使 用 方便 ,费用 低廉 , 因 
此 操作 系统 (如 UNIX、Windows NT、NetWare 等 ) 都 提供 了 对 基于 口令 的 认证 的 支持 。 
在 这 种 类 型 的 认证 中 ,用 户 和 计算 机 共享 某 个 口令 ,这 个 口令 相当 于 一 个 长 期 使 用 但 又 相 
对 较 短 的 对 称 密 钥 。 如 果 用 户 U 希望 使 用 主机 H 的 服务 ,H 必须 事先 对 U 进行 初始 化 ， 
发 给 U 一 个 口令 PWDu ,或 者 U 自己 选择 一 个 口令 。 本 章 的 编排 采用 层 层 递 进 的 方式 ， 
以 便于 读者 理解 其 中 的 协议 设计 的 演变 过 程 和 动机 。 
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一 个 最 简单 的 形式 就 是 主机 H 在 初始 化 用 户 U 之 后 ,建立 一 个 保存 所 有 用 户口 令 
的 文档 ( 称 为 口令 表 ) ,其 中 每 一 条 记录 形 如 (IDu ,PWDu) ,分 别 对 应 用 户 的 身份 和 该 用 户 
的 口令 。 用 户 每 次 登录 H 时 ,H 都 要 求 其 输入 口令 ,然后 从 自己 存储 的 用 户口 令 表 中 查 
找 以 判定 U 的 输入 是 否 正 确 。 过 程 如 下 : 


1. U>H:ID, 

2. HU.:“Input Your Password” 
3. U>H:PWDu 

4. Check PWDu in Table 


该 协议 非常 简单 。 在 20 世纪 70 年 代 , 由 于 终端 和 主机 之 间 的 通信 和 链 路 是 不 可 攻击 
的 专线 ,所 以 该 协议 在 当时 的 环境 下 确实 能 够 提供 从 用 户 到 主机 的 认证 。 但 是 该 协议 不 
适用 于 现在 的 网 络 通信 环境 : 由 于 身份 和 口令 均 为 明文 传输 , 故 在 开放 信道 上 容易 被 窃 
听 者 窃听 ,窃听 者 可 用 该 身份 发 起 认证 协议 ,并 利用 该 口令 完成 认证 过 程 ,从 而 得 到 H 的 
服务 。 另 外 ,主机 H 中 的 口令 明文 存储 也 增加 了 口令 泄露 的 可 能 ,如 果 系 统 攻击 者 失 探 
了 口令 表 ( 如 通过 利用 软件 漏洞 渗透 到 主机 系统 ,得 到 管理 员 权 限 , 留 下 后 门 程序 ,发 送 口 
令 表 给 攻击 者 ), 则 所 有 用 户 的 口令 均 泄露 。 因 此 ,这 里 主要 面临 两 种 敌手 模型 ,一 个 是 窍 
听 者 , 男 一 个 是 系统 攻击 者 (还 可 进一步 划分 为 终端 系统 攻击 者 和 主机 系统 攻击 者 )。 

思考 10.1 如 何 解 决口 令 表 泄露 问题 ? 

引入 单 向 函数 的 口令 认证 协议 如 图 10. 1 所 示 。 


声称 者 验证 者 
三 -一 一 -一 一 一 一 一 1 
1 1 
1 4 
1 
| re | a 1 
| 1 比较 
| 
id | T 
! | 


图 10.1 引入 单 向 函数 的 口令 认证 协议 


为 了 解决 上 一 个 协议 中 的 主机 口令 表 中 的 口令 泄漏 问题 ,防御 系统 攻击 者 ,可 以 采取 
的 办 法 是 将 口令 进行 单 向 函数 (例如 散 列 函数 ) 计 算 , 然 后 保存 到 口令 表 中 。 即 口令 表 中 
保存 的 是 (IDu ,OWF(PWDu)) ,这 里 OWFO 〇 表示 单 向 函数 。 这 是 可 行 的 ,因为 主机 只 需 
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要 区 分 有 效 口令 和 无 效 口 令 ,无 须知 道口 令 本 身 。 即 使 口令 表 泄 露 ,由 于 单 向 函数 的 性 
质 , 从 OWF(PWDu ) 得 不 到 PWDu。 该 改进 措施 也 可 以 抵御 在 线 窃听 者 ,因为 在 线 窃听 
者 只 能 窃听 到 散 列 值 。 但 是 由 于 口令 的 长 度 限 制 为 便于 记忆 的 长 度 范围 ,例如 6 位 , 则 攻 
击 者 可 能 在 得 到 口令 表 后 ,离线 尝试 所 有 可 能 的 密 钥 ,试图 找到 一 个 满足 OWFCPWDu) 
的 PWDu ,该 攻击 方式 称 为 字典 攻击 (dictionary attack)。 或 者 进行 在 线 字 典 攻击 , 即 在 
线 尝试 对 口令 的 猜测 集合 ( 称 为 字典 ) 。 

思考 10.2 为 了 消除 字典 攻击 ,可 采取 什么 方法 ? 

可 以 采用 图 10. 2 所 示 的 加 Salt 机 制 的 认证 ,其 目标 是 增加 口令 炉 , 即 使 用 不 易 猜测 
的 口令 。 另 一 个 增加 口令 箭 的 方法 是 将 口令 表 设 计 成 (IDu,salt,OWFCPWDu ,salt)) ,这 
样 , 如 果 salt 足够 大 ,在 进行 在 线 字典 攻击 时 不 容易 找到 PWDu ,因为 要 尝试 所 有 可 能 的 
salt。 同 时 ,虽然 salt 是 明文 存储 ,没有 增加 穷 举 的 计算 量 ,但 因为 PWDu 和 salt 前 后 组 
合 的 方式 是 未 知 的 , 穷 举 PWDu 找到 满足 OWF(PWDu ,salt) 的 难度 会 增 大 ,使 得 离线 字 
典 攻 击 的 难度 加 大 。 另 外 ,也 使 得 攻击 者 无 法 进行 成 批量 的 口令 猜测 。 


声称 者 验证 者 


id |sat|g 


图 10.2 加 Salt 机制 的 认证 示意 图 


对 于 抵抗 在 线 字典 攻击 ,通常 的 办 法 是 限制 尝试 口令 次 数 、 延 迟 响 应 或 者 
CAPTCHA(Completely Automated Public Turing Test to Tell Computers and Humans 
Apart, 全 自动 区 分 计算 机 和 人 类 的 图 灵 测 试 ) 方 法 。CAPTCHA 系统 使 用 人 工 智能 难题 
的 图 形 码 技 术 , 服 务 器 端 生 成 随机 字符 串 尺 ,经 变换 成 F(R) 后 发 送 给 用 户 , 由 于 机 器 无 法 
识别 变形 图 片 中 的 字符 串 R, 只 有 人 才能 识别 ,保证 了 客户 端 参 与 者 必须 是 人 ,因此 避免 
了 攻击 者 利用 机 器 进行 自动 的 在 线 字 典 攻击 。 
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为 防御 在 线 口 令 窃听 者 和 重 放 攻 击 ,L. Lamport 在 20 世纪 80 年 代 首 次 提出 一 个 简 
单 的 动态 口令 方法 ,也 称 为 强 认 证 和 一 次 口令 (onertime password) 方 案 。 该 方法 描述 
如 下 : 

主机 保持 用 户 的 初始 口令 为 (IDu,n,Hash" (PWDu)), 其 中 是 一 个 较 大 的 数 ,如 
1000 ,Hash0 〇 为 一 个 散 列 函数 ,Hash"(PWD,) 二 Hash(…Hash(PWDu))…)。 用 户 UR 
需 记 住 口令 PWDu ,每 次 用 户 U 登录 时 ,H 都 会 更 新 自己 保存 的 用 户 U 的 口令 记录 。H 
和 TU 首次 运行 口令 认证 协议 时 ,用 户 端 对 PWDu 重复 计算 散 列 函 数 n 一 1 次 ,得 到 
Hash”'(PWDu) ,计算 结果 发 送 给 也 ,H 对 该 结果 执行 一 次 散 列 运算 后 ,与 保存 的 Hash” 
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(PWDu) 进 行 比较 ,如 果 相 同 则 认证 通过 。 然 后 将 (IDu,n,Hash" (PWDu)) 更 新 为 (IDu， 
n 一 1,Hash”!(PWDu))。 如 此 反复 ,在 第 c 次 认证 过 程 中 ,发 送 Hash”™ “(PWDu), 接 收 
者 接收 后 ,进行 一 次 散 列 运算 ,与 保存 的 Hash”“*!(PWDu) 进 行 比较 ,如 果 相同 则 认证 通 
过 ,然后 将 保存 的 Hash” “1 (PWDu ) 更 新 为 Hash” “(PWD,)。 

例 10.1 这 一 设计 思想 可 应 用 到 S/KEY 认证 协议 中 。 

图 10. 3 给 出 了 S/KEY 一 次 性 口令 认证 的 示意 图 。 


Hash(PWDullseed) 


声称 者 U 认证 请 求 ,ID 验证 者 
| 验证 ID 有 效 性 


计算 攻 ed 查 按 当 前 种 子 scecd 和 次 数 ; 


一 他 
Hash(PWDulseed-OTP-， | Hash(OTP，)Hashe(PWDullseed)); 


Save OTP，; 广 二 1 


图 10.3 S/KEY 一 次 性 口令 认证 示意 图 


S/KEY 认证 过 程 描述 如 下 : 


1 
2. 
3. 


4. 


U>H:IDu 
HU:seed,t 
U—>H:Hash! (PWDy) ||seed) =OTP,, 


Hash(OTP, 1)2:Hash'! (PWDu || seed)); 


Save Hash' (PWDu || seed) ;t=1—1 


当 计数 器 c 的 值 从 ”递减 到 1 时 ,用 户 U 和 主机 H 需要 重新 初始 化 以 设置 口令 。 这 
种 一 次 口令 系统 也 称 为 S/KEY ,已 经 成 为 标准 的 协议 RFC1760。 散 列 函 数 可 以 选择 
MD5 算法 或 者 SHA1 算法 。 由 于 计数 器 的 存在 ,有 利于 保持 用 户主 机 间 的 同步 ,但 是 攻 
击 者 可 能 利用 传输 中 的 计数 器 发 起 中 间 人 攻击 : 攻击 者 将 计数 器 改 小 发 送 给 用 户 , 得 到 
用 户 的 应 答 后 ,可 用 于 计数 器 较 大 的 应 答 , 从 而 得 到 该 用 户 一 系列 的 有 效 口 令 , 进 而 在 一 
段 时 间 内 假冒 合法 用 户 而 不 被 觉察 (这 就 是 所 谓 “ 小 数 ” 攻 击 ) ,这 一 缺陷 的 来 源 是 S/KEY 
认证 协议 中 缺乏 完整 性 保护 。 

例 10.2 这 一 设计 思想 可 应 用 到 基于 口令 的 智能 卡 认证 协议 。 

首先 是 注册 协议 ,如 图 10.4 所 示 。 


U H 


Save 
IDuPWDu 昌 NM) IDuPPWDu@N 


K=PPWDu@N@AeallID) 


图 10.4 智能 卡 注册 协议 


设计 中 ,U 使 用 随机 选取 的 N 增加 了 PWDu 的 口令 炉 , 共 享 密 钥 为 H 随机 选取 的 工 
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连接 IDu ,然后 运用 散 列 函 数 , 与 保存 的 口令 散 列 值 异 或 。 
基于 口令 的 智能 卡 认 证 协议 如 图 10.5 所 示 。 


U H 


crKGPPWDu@N) 
-halmy) core@pellIDu 
crel@HMPWDuGNM IDuee NE 
=healIDU@AMPWDu@N SO 
save (PWDUON') 
c=hPWDuG@NMOGPPWDu@N) 


图 10.5 基于 口令 的 智能 卡 认证 协议 
容易 观察 认证 等 式 的 正确 性 。 认 证 完成 后 ,对 保存 的 口令 散 列 值 进行 了 更 新 。 
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基于 口令 的 认证 协议 可 用 于 进行 加 密 的 密 钥 交 换 (Encrypted Key Exchange, EKE)， 
Bellovin 和 Merritt 在 1992 年 设计 了 一 个 基于 口令 认 
证 的 EKE( 见 图 10.6)。 在 该 协议 中 ,用 户 U 和 计算 机 
H 共享 口令 PWDu ,这 个 口令 短小 .易于 记忆 。 另 外 ,用 
户 和 计算 机 事先 约定 一 种 对 称 密 钥 加 密 体制 SE 和 一 种 SEpwo,(AErx(K) 
公 钥 加 密 体制 AE,SKx(。 ) 表 示 用 密 钥 K 进行 对 称 加 
密 ,AEek(。) 表 示 用 公 钥 PK 进行 公 钥 加 密 。 协 议 
如 下 : 


1. U 生成 一 个 随机 数 PK, 将 自己 的 身份 IDu 和 SEpwo, 
(PK) 发 送 给 H。 

2. H 对 SEewou PK) 进行 解密 操作 ,得 到 PK, 将 SErwo ”图 10.6 加 密 的 密 钥 交换 协议 
(AEpk(K)) 发 送 给 U, 其 中 K 为 H 产生 的 随机 对 称 
密 钥 。 

. 品 利 用 PKu 和 PK 从 SEpwp,(AErk(K)) 中 恢复 出 K, 将 SEk (Nu) 发 送 给 也 ,其 中 Nu 为 用 户 
U 选取 的 随机 数 。 

. HH 从 SEk (Nu) 中 恢复 出 Nu ,将 SEr (Nu ,Na) 发 送 给 U, 其 中 Na 为 HH 选取 的 随机 数 。 

. U 从 SEk(CNu,Nna) 中 恢复 出 Na ,将 SEk (Ns) 发 送 给 H。 

. 如 果 也 能够 从 SEx CNa) 中 恢复 出 Na , 则 认证 通过 ,并 使 用 K 作为 共享 密 钥 进行 安全 通信 。 


容易 看 出 ,步骤 1 是 通过 共享 的 口令 传送 一 个 随机 数 PK, 使 得 密 钥 信 息 粹 扩大 。 步 
又 2 类 似 步 又 1, 传递 一 个 随机 数 及 作为 后 续 步 又 的 共享 密 钥 ,进一步 扩大 了 共享 密 钥 的 
信息 炉 并 且 保 证 了 密 钥 的 “新 鲜 性 ”。 因 此 ,步骤 1 和 步骤 2 可 视 为 两 次 对 PWDu 的 加 盐 
(salt) 操 作 , 使 窃听 者 看 到 的 数据 与 PWDu 保持 统计 独立 。 另 外 ,步骤 3 一 5 是 基于 对 称 
密 钥 的 双向 认证 协议 ,可 以 用 任意 基于 对 称 密 钥 的 双向 认证 协议 替代 。 

图 10.7 给 出 以 上 构造 的 具体 实例 一 一 基于 Diffie-Hellman 的 EKE 协议 。P 是 一 个 
大 素数 ,至 少 1024 位 。 


IDu,SEpwp, (PK) 


SEA(NU) 
SEKNUN) 


SEk(NH) 


w 


San 
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U H 
XHEZLp 
xuEZ, IDu, Bu}PWDU Au = 埋 
yu=gY i yhH= Sm 
i PWDL {NI Kuan Nu € {1, °° ,25} 
Kun= 咒 
{NuNa} Kun 
Ne {1,… ,20 
NAK 验证 Ns 
验证 N, {Nu}Kun 


图 10.7 基于 DH 的 EKE 协议 


10.3 ”基于 “挑战 -应 答 ” 协 议 的 实体 认证 
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基于 “挑战 -应 答 ” 协 议 的 认证 也 称 为 强 认证 。 国 际 标准 ISO/IEC 9798 一 2 详 述 了 6 
个 使 用 对 称 密码 算法 的 协议 ,其 中 有 4 个 协议 仅 用 来 提供 实体 认证 ,另外 两 个 提供 实体 认 
证 和 密 钥 建立 。4 个 认证 协议 中 ,有 两 个 是 单 向 认证 协议 ,两 个 是 双向 认证 协议 。 约 定 通 
信 双 方 为 A 和 B,{M)}x 表示 密 钥 KK 加 密 消息 M ,并 提供 完整 性 保护 。 

协议 1: 一 路 (one pass) 单 向 (one-way) 认 证 协议 。 

一 路 表示 一 条 消息 ,发 起 者 A 发 送 一 条 消息 ,验证 者 B 验证 A 的 身份 ,为 单 向 认 
证 。B 由 时 间 截 TA 判断 A 是 否 有 效 ,包含 身份 标识 B 能 保证 A 知道 B 是 期 望 的 验证 
实体 。 

A 一 B:{TA,Bjxs 
协议 2: 两 路 单 向 认证 协议 。 
协议 2 与 协议 1 类似 ,只 是 用 随机 数 蔡 代 时 间 蕉 。 
B— A:Ns 
A— B:{Ns,B}r, 
协议 3: 两 路 双向 认证 协议 。 
思考 10.3 能 否 利用 协议 1 设计 该 协议 ? 
协议 3 由 协议 1 的 两 个 实例 组 成 ,提供 双向 认证 。 
A B:{Th,B}x, 
本 全 
协议 4: 三 路 双向 认证 协议 。 
协议 4 与 协议 3 类 似 , 提 供 双 向 认证 ,只 是 用 随机 数 代 蔡 了 时 间 戳 。 
B— A:Ns 
A B:{Na,Ns,B}x, 
B— A:{Nss Na} 
协议 4 不 是 两 个 协议 2 的 组 合 .消息 从 4 个 减少 到 3 个 。 
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以 上 4 个 协议 中 ,从 A 发 出 的 加 密 消息 中 是 否 含 有 B 的 标识 是 可 选 的 ,协议 3 中 从 B 
发 出 的 消息 中 是 否 包含 A 的 标识 也 是 可 选 的 。 标 准 建议 包含 实体 的 标识 用 于 防御 反射 
(reflection) 攻 击 。 

车 协议 4 的 消息 2 中 的 标识 B 被 省 略 了 ,将 会 遭受 如 下 所 示 的 反射 攻击 。 

1. B— C(A):Ns 

1'. CCA) — B:Ns 

2'. B—> C(A): {N's, Na}rs 

2. C(A) — B:{N's,Ns} 

3. B— C(A):{Na, N's}rs, 
即 攻击 者 C 参与 了 与 B 之 间 的 两 个 并 行 协议 会 话 ,B 是 会 话 1 的 发 起 者 ,C 是 会 话 2 的 发 
起 者 。 首 先 ,C 可 以 利用 B 发 起 会 话 1 的 消息 1 来 发 起 会 话 2; 接 着 C 可 以 把 会 话 2 的 消 
息 2' 转 发 给 B 作为 会 话 1 的 消息 2; 最 后 , 当 会 话 1 成 功 完成 后 ,C 又 可 以 把 会 话 1 中 的 
消息 3 转发 给 B, 从 而 完成 会 话 2。 于 是 ,C 和 B 成 功 地 完成 了 两 次 协议 运行 ,而 B 误 认为 
他 是 和 A 成 功 地 完成 了 两 次 协议 运行 。 

思考 10.4 上 述 协 议 是 否 可 以 通过 散 列 函 数 完成 。 

可 以 通过 散 列 函 数 完成 ,将 加 密 函 数 用 具有 密 钥 的 散 列 函数 替换 即 可 。 唯 一 的 区 别 
是 身份 信息 不 再 是 保密 的 。 例 如 ,协议 1 中 A 一 B:{TA,B)xws 蔡 换 为 A 一 B: Hashx,， 
(TA,B),TA,B。 相 应 地 ,其 他 协议 作 类 似 修 改 。 

思考 10.5 如果 通信 双方 事先 没有 共享 密 钥 , 则 需要 有 第 三 方 认证 服务 器 AS 参与 
(通常 情况 下 ,AS 也 承担 了 密 钥 分 发 的 任务 ,此 时 叫做 KDC)。 如 何 设计 认证 协议 ? 

对 于 单 向 认证 : 


KAB 


A 一 AS:A,B,NA 
AS 一 A:{Kas»B. Na. (Kas, A}r, }r 
A™> B:{Kas:,A}rs Mk, 
对 于 双向 认证 : 
A 一 AS:A,B,NA 
AS 一 A:(KA,B,NA,{KAa ,Ajax jx 
A 一 B:{KAe,Ajm 
B— A:{Na}rs 
A > B:{f(NE) jx 
在 后 来 的 研究 中 发 现 消息 2 和 3 需要 加 上 时 间 戳 。 这 其 实 就 是 Needham/ Schroeder 
协议 (含有 双向 认证 和 共享 对 称 密 钥 分 发 ) 。 
另外 ,Needham/Schroeder 协议 在 实际 中 的 应 用 是 Kerberos 协议 , 它 是 基于 对 称 密 
码 的 实体 认证 协议 ,在 没有 事先 共享 对 称 密 钥 的 情况 下 ,由 可 信 第 三 方 参与 ,同时 完成 密 
钥 的 分 发 。Kerberos 协议 在 实际 中 有 大 量 应 用 ,可 以 体会 实际 应 用 中 的 协议 设计 和 协议 
设计 原型 之 间 的 异同 。 
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基于 公 钥 密码 的 实体 认证 的 优势 在 于 : 可 以 利用 数字 签名 提供 抗 抵赖 性 ,并 可 以 简 
化 密 钥 的 管理 ,不 需要 在 线 的 可 信 第 三 方 。 但 同时 也 付出 了 两 个 代价 : 四 公 钥 密码 体制 
中 的 计算 代价 都 比较 高 ,多 需要 两 三 个 数量 级 的 计算 ,因此 ,在 设计 基于 公 钥 的 协议 时 ,应 
尽 可 能 地 减少 公 钥 操作 的 数量 。 进 一 步 将 公 钥 的 基本 操作 细 分 ,需要 考虑 协议 中 使 用 到 
的 私 钥 操作 (如 签名 生成 和 解密 ) 和 公 钥 操作 (签名 验证 和 加 密 ), 这 两 种 操作 的 效率 往往 
不 同 。 如 RSA 算法 的 公 钥 操作 比 私 钥 操作 的 效率 要 高 ,而 大 多 数 离散 对 数 算法 刚好 相 
反 。 此 外 ,虽然 基于 离散 对 数 的 算法 (包括 椭圆 曲线 算法 ) 总 体 上 效率 高 于 RSA, 但 对 于 
主要 需要 使 用 公 钥 操作 的 协议 来 说 ,使 用 小 公开 指数 的 RSA 实现 将 会 更 加 有 效 。@ 需 要 
对 公 钥 进行 管理 ,通常 使 用 公 钥 基础 设施 。 

本 节 使 用 的 符号 主要 有 : Ex(CM) 表 示 用 实体 X 的 公 钥 对 消息 M 进行 加 密 ,Sigx (M) 
表示 用 实体 X 的 私 钥 对 消息 M 进行 有 附录 的 签名 ,Nx 表示 实体 X 选择 的 随机 数 ,Tx 表 
示 实 体 X 选择 的 时 间 戳 。 

ISO/VIEC 9798 一 3 包括 5 个 认证 协议 ,美国 标准 FIPS196 包括 了 其 中 的 两 个 协议 ( 协 
议 1 和 协议 2)。 在 标准 中 每 个 协议 的 每 条 消息 都 包含 多 个 可 选 的 文本 域 ,包含 文本 域 的 
原因 可 能 是 多 方面 的 : 如 为 了 认证 信息 ;为 了 在 签名 中 添加 额外 的 元 余 信 息 ; 为 了 提供 其 
他 的 时 间 变 量 参 数 ,如 时 间 惟 ; 为 了 在 协议 的 使 用 中 提供 有 效 性 信息 。 没 有 签名 的 文本 域 
可 能 用 于 保存 消息 发 送 者 的 身份 标识 。 由 于 可 选 的 文本 域 并 不 是 基本 协议 的 组 成 部 分 ， 
故 在 下 面 的 描述 中 省 略 了 。 另 外 ,如 果 接 收 方 没 有 发 送 方 的 数字 证 书 ,可 以 在 消息 中 包含 
发 送 方 的 数字 证 书 。 

协议 1: 一 路 单 向 认证 协议 。 

发 起 者 A 发 送 一 条 消息 ,验证 者 B 验证 A 的 身份 ,为 单 向 认证 。B 由 时 间 蕉 TA 判 
断 A 是 否 有 效 , 包 含 身份 标识 B 能 保证 A 知道 B 是 期 望 的 验证 实体 。 容 易 看 到 和 ISO/ 
IEC 9798 一 2 一 路 单 向 认证 非常 相似 。 

A— B:T,,B,Sigs, (TA ,B) 

协议 2: 两 路 单 向 认证 协议 。 

与 协议 1 相 比 ,该 协议 用 随机 数 代替 时 间 惟 ,另外 一 个 不 同 是 包含 了 A 选择 的 随机 
数 NA,NA 与 认证 无 关 , 但 保证 了 A 不 是 对 B 选择 的 消息 进行 签名 。 该 协议 仍然 是 单 向 

B— A:Ns 
A— B:Na,Ns,B,Siga (Na,Ns,B) 

协议 3: 两 路 双向 认证 协议 。 

该 协议 是 协议 1 的 两 个 实例 的 简单 组 合 。 同 样 地 ,时 间 戳 可 用 计数 器 代替 。 这 个 协 
议 提供 双向 认证 。 因 为 协议 中 的 消息 彼此 独立 ,所 以 协议 可 以 只 执行 一 轮 。 

A— B:T,B,Siga (Ta ,B) 
B— A:Ts,A,Sigs(Ts,A) 
协议 4: 三 路 双向 认证 协议 。 
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该 协议 是 对 协议 2 的 扩展 ,A 和 B 分 别 使 用 随机 数 NA 和 Ns。 
B— A:Ns 
A— B:Na,Ns,B,Siga (Na ,Ns,B) 
B— A:Ns,Na,A,Sigs (Ns, Na,A) 
协议 5: 两 路 并 行 认证 协议 。 
该 协议 允许 认证 在 A 和 B 之 间 并 行进 行 ,因此 ,消息 1 和 1', 消 息 2 和 2' 可 以 同时 
1. A— B:N, 
1'. B— A:Ns 
2. A— B:Na,Ns,B,Siga (Na,Ns,B) 
2'. B—> A:Ns,Na,A,Sige(Ns,Na,A) 
身份 认证 协议 通常 和 密 钥 分 发 或 建立 协议 联合 使 用 , 即 在 认证 身份 的 同时 进行 密 钥 
的 分 发 或 者 建立 ,例如 X. 509 认证 协议 ,Needham-Schroeder 协议 (以 及 该 协议 的 扩展 
Kerberos 协议 ) 。 
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如 图 10. 8 所 示 ,验证 者 发 送 给 声称 者 一 个 自己 产生 的 随机 挑战 4, 声称 者 输入 口令 
p',p 和 id 经 过 散 列 函 数 了 计算 的 结果 (等 于 g) 再 入 通过 散 列 函数 hh 计算 得 到 x ,发 
送 给 验证 者 。 验 证 者 将 保存 的 g 和 生成 的 n 通过 散 列 函数 h 计算 得 到 ,通过 比较 rr 和 x 
是 否 相 等 来 确定 认证 是 否 通过 。 

该 协议 中 非 重复 的 挑战 完全 由 验证 者 决定 ,使 得 每 次 传输 的 认证 信息 不 同 , 很 好 地 防 
止 了 口令 窃听 和 重 放 , 但 需要 额外 的 通信 开销 。 其 安全 性 一 方面 取决 于 散 列 函 数 的 安全 
性 ; 另 一 方面 由 于 是 单 向 认证 ,存在 验证 者 假冒 和 重 放 攻 击 。 这 可 以 通过 双向 认证 或 时 间 
蕉 来 解决 。 


雪 验证 者 
oe , _ | 
ml 1 | 
h 应 答 万 


图 10.8 基于 散 列 函数 的 实体 认证 示意 图 


身份 识别 协议 


身份 识别 协议 使 用 非 对称 技 术 证 明 身 份 , 但 不 依赖 于 数字 签名 或 公 钥 加 密 ,而 且 可 如 
免 使 用 分 组 密码 .序列 号 和 时 间 戳 。 形 式 上 类 似 于 基于 口令 的 实体 认证 ,拥有 ”挑战 -应 
答 ” 的 交互 过 程 , 但 是 这 里 的 协议 是 基于 交互 式 证 明和 零 知 识 证 明 的 思想 。 不 但 利用 随机 
数 作为 挑战 ,也 利用 随机 数 作为 阻止 欺骗 的 一 个 承诺 。 身 份 识别 协议 的 设计 原理 要 在 零 
知识 证 明 协议 学 习 完 之 后 才 可 以 完全 理解 ,本 章 重点 是 介绍 身份 识别 协议 。 不 同 于 前 面 
的 实体 认证 协议 ,身份 识别 协议 可 证 明 自 己 的 身份 ,但 验证 者 不 能 假冒 证 明 者 。 

另外 ,前 面 曾经 提 到 ,所 有 身份 识别 协议 可 以 通过 利用 一 个 散 列 函数 将 交互 式 证 明 变 
为 非 交 互 式 证 明 , 从 而 得 到 相应 的 签名 方案 。 


11.1 Fiat-Shamir 身份 识别 协议 


首先 介绍 交互 证 明 系 统 的 概念 。 

交互 证 明 系 统 由 两 方 参与 ,分 别称 为 证 明 者 (Prover, 简 记 为 P) 和 验证 者 (Verifier, 简 
记 为 V) ,其 中 了 知道 某 一 秘密 (如 公 钥 密码 体制 的 私 钥 ),P 希望 能 使 V 相信 自己 的 确 掌 
握 这 一 秘密 。 交 互 证 明 由 若干 轮 组 成 ,在 每 一 轮 ,P 和 V 可 能 需 根据 从 对 方 收 到 的 消息 
和 自己 计算 的 某 个 结果 向 对 方 发 送 消息 。 比 较 典 型 的 方式 是 在 每 一 轮 V 都 向 P 发 出 询 
问 (挑战 ),P 向 V 做 出 应 答 。 所 有 轮 执行 完 后 ,V 根据 P 是否 在 每 一 轮 对 自己 发 出 的 询 
问 都 能 正确 回答 来 决定 是 否 接 受 P 的 证 明 。 交 互 证 明 有 时 称 为 协议 证 明 。 

交互 证 明和 数学 证 明 的 区 别 在 于 : 数学 证 明 的 证 明 者 可 独自 完成 证 明 , 而 交互 证 明 
是 由 了 产生 证 明 、V 验证 证 明 的 有 效 性 来 实现 ,因此 是 双方 之 间 通 过 某 种 信道 的 通信 时 
必需 的 。 

交互 证 明 系 统 需要 满足 以 下 要 求 ， 

(1) 完备 性 (completeness)。 给 定 P、V 都 是 诚实 的 ,如 果 了 知道 某 一 秘密 ,V 将 以 很 
高 的 概率 接受 P 的 证 明 。 

(2) 合理 性 (soundness) 。 如 果 了 能 以 不 可 忽略 的 概率 使 V 相信 了 的 证 明 , 则 了 知 
道 相应 的 秘密 。 

交互 证 明 如 果 具 有 完备 性 和 合理 性 , 则 称 为 知识 证 明 。 知 识 的 证 明 协 议 有 零 知 识 性 。 
即 证 明 者 执行 协议 (即使 和 恶意 验证 者 交互 ) 不 会 泄露 任何 在 多 项 式 时 间 可 公开 计算 的 信 
息 之 外 的 信息 ,因此 ,验证 者 不 能 获得 关于 P 的 有 用 信息 ,使 得 V 不 能 随后 假冒 P 向 第 三 
方 证 明 自 己 是 P。 
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更 正式 地 说 , 零 知识 性 就 是 在 下 述 意 义 下 是 可 模拟 的 : 存在 多 项 式 算法 (模拟 器 ) ,在 
未 与 真正 的 证 明 者 交互 的 情形 下 ,一 旦 输入 要 证 实 的 断言 ,该 算法 就 能 生成 一 些 脚本 ,这 
些 脚本 和 那些 与 真正 的 证 明 者 交互 而 得 来 的 脚本 不 可 区 分 。 
1986 年 ,A. Fiat 和 A. Shamir 在 Crypto’86 上 提出 了 一 个 基于 模 n 平 方 根 问题 的 困 
难 性 的 身份 识别 协议 ,其 安全 性 等 价 于 因子 分 解 x。 协 议 的 设计 运用 了 “挑战 -应 答 ” 机 
制 ,以 及 “分 割 -选择 ”思想 ,并 保证 了 零 知 识 性 。 
Fiat-Shamir(FS) 身 份 识 别 协议 的 目的 是 A 向 B 证 明 对 知识 s 的 拥有 ,执行 1 次 
协议 。 
Fiat-Shamir 身份 识别 协议 描述 如 下 : 
1. 参数 设置 : 
可 信 中 心 TA 选择 并 公开 模 数 n= 二 pq, 素数 p 和 g 保密 。 
每 个 声称 者 A 选择 与 互 素 的 秘密 ,1 三 sn 一 1, 计 算 v=s* mod n, 将 v 向 TA 注册 为 自己 的 
公 钥 。 
2. 协议 消息 : t 轮 交 互 的 每 一 轮 都 由 如 下 3 条 消息 构成 : 
A—B: zz 一刀 modn 
A<B: e€ {0,1} 
A—>B: y=r* s modn 
. 协议 执行 过 程 : 下 列 步骤 连续 地 执行 上 次 ,假如 上 轮 都 成 功 ,B 就 是 接受 证 明 。 
(1) A 选择 随机 数 ( 承 诺 )r,1 达 rn 一 1, 发 送 ( 证 据 )z= 二 * mod n 给 B。 
(2) B 随机 选择 一 个 (挑战 ) 比 特 e 二 0 或 e==1, 发 送 e 给 A。 
(3) A 计算 (响应 )y, 并 发 送 给 B, 其 中 y=r(e 二 0) ,或 者 y=rs mod nz(e 一 1) 。 
(4) 若 y=0, 则 B 拒 绝 证 明 , 反 之 则 通过 验证 y 二 x+， vw mod n 接受 证 明 ( 即 若 e=1, 则 y? 三 
zu mod mi; 若 e 一 0, 则 y: 夺 x mod nn)。 
该 协议 满足 以 下 要 求 : 
(1) 完备 性 。 如 果 P 和 V 遵守 协议 , 且 P 知道 ;, 则 应 答 xs 应 为 模 n 下 xw 的 平方 根 ， 
V 接受 P 的 证 明 。 
(2) 合理 性 。 如 果 P 不 知道 ;, 他 在 第 1 条 消息 中 发 送 z=r*/v, 在 第 3 条 消息 中 发 送 
y 王 7 作为 应 答 。 当 挑战 为 e 二 1, 这 个 应 答 是 正确 的 , 即 满足 方程 [M3] 二 [Mi ]v mod n， 
这 里 LM; ] 表 示 第 3 条 消息 ,LM ] 表 示 第 1 条 消息 。 当 挑战 为 e=0 时 , 则 应 答 不 正确 。 故 
可 欺骗 的 概率 为 1/2。 如 果 进 行 上 轮 均 正 确 应 答 , 则 欺骗 的 概率 为 2 一 。 
(3) 零 知 识 性 。V 并 没有 知道 P 的 秘密 ,P 给 V 的 消息 中 只 能 得 出 P 知道 v 的 平方 
根 这 一 事实 。 
思考 11.1 基于 零 知 识 的 身份 识别 协议 的 设计 规律 。 
一 般 来 说 ,这 类 协议 的 一 般 结 构 是 
A 一 B: 证 据 (承诺 ) 
A 一 B: 挑 战 
A 一 了 :响应 
需要 证 明 自 己 是 A 的 证 明 者 从 预定 义 集中 选择 一 个 随机 元 素 作 为 秘密 承诺 ,并 由 此 
计算 相关 的 公开 证 据 。 这 提供 了 协议 运行 的 随机 初始 化 :实质 上 定义 了 证 明 者 声称 能 够 
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回答 的 一 套 问题 ,限制 了 随机 后 的 响应 。 后 面 的 协议 中 ,只 有 知道 秘密 的 合法 方 A 才 有 
能 力 回答 所 有 的 挑战 ,对 这 些 挑战 的 响应 不 会 泄露 任何 A 的 秘密 信息 。B 在 随后 的 挑战 
中 选择 其 中 一 个 问题 ,A 提供 响应 给 B,B 检测 响应 的 正确 性 。 必 要 时 ,重复 执行 协议 ,以 
降低 成 功 欺骗 概率 的 上 界 。 

设计 中 应 用 到 “挑战 -应 答 ” 的 形式 ,利用 了 “切割 -选择 ”协议 的 思想 ( 源 于 两 个 小 孩 分 
一 块 蛋糕 的 方法 : 一 个 切 , 男 一 个 选 )。 对 一 个 给 定 的 证 据 ,A 最 多 响应 一 个 挑战 ,而 且 不 
重复 使 用 任何 证 据 。 如 果 违 背 这 一 条 件 , 安 全 性 就 会 受到 威胁 。 


11.2 ”Feige-Fiat-Shamir 身份 识别 协议 


为 了 提高 FS 身份 识别 协议 的 效率 ,1988 年 ,U. Feige、A. Fiat 和 A. Shamir 提出 了 
Feige-Fiat-Shamir(FFS) 身 份 识别 协议 ,该 协议 是 FS 身份 识别 协议 的 推广 。 
Feige-Fiat-Shamir 身份 识别 协议 描述 如 下 : 


1. 参数 设置 : 可 信 中 心 TA 选择 两 个 秘密 素数 p 和 gq, 使 得 n= pg 的 因子 分 解 在 计算 上 是 不 可 行 
的 ,其 中 p 和 9g 都 为 模 4 余 3, 将 作为 公共 的 模 数 向 所 有 的 用 户 公开 (n 是 Blum 数 )。 整 数 
和 + 定义 为 安全 参数 。 

每 个 实体 选择 个 随机 整数 5 ,ss,… ,si 《1s; 志 nn 一 1) 和 有 个 随机 比特 5b) ,bs ，*… ,bs 。 
计算 w==( 一 1)%。，(5$)71 mod n,1 三 ik。A 向 TA 证 明 自 己 的 身份 ,TA 注册 A 的 公 和 钥 (v， 
v2 ,Ui3n), 只 有 A 知道 自己 的 私 钥 (51 sz ，… ss) 入 。 

2. 协议 消息 。t 轮 中 的 每 轮 执行 如 下 3 条 消息 : 

A—B: z=+tr modn 
A<—B: (ei,es ,er),e: € {0,1} 
A 一 B:y 一 r。 [ss modn 

3. 协议 执行 过 程 。 下 列 步 又 执行 :次 ,假如 + 轮 都 成 功 ,B 就 接受 A 的 身份 。 假 定 B 有 A 的 可 信 
公 钥 (wm ,vo，… ,vsn) ,否则 ,可 在 第 1 条 消息 中 发 送 证 书 。 

(1) A 选择 随机 整数 r(1<r<n 一 1) 和 一 个 随机 比特 5; 计算 z=( 一 1)*。r? mod n; 发 送 x( 证 
据 ) 给 B。 
(2) B 将 随机 比特 向 量 (ei ,e;,… ,ei ) 发 送 给 A( 挑 战 ) 。 


(3) A 计算 并 发 送 给 B( 响 应 ): y 二 +r。 sy mod n (根据 挑战 得 出 这 些 s; 和 的 乘积 ) 。 


jl 
(4) B 计 算 = 一 y*[[ ww mod n, 验证 z= 土 x 和 xz 关 0( 后 者 是 排除 敌手 选择 + 二 0 能 够 成 功 的 
j=1 
情形 )。 


可 见 ,FFS 方 案 和 FS 方案 的 区 别 在 于 生成 证 据 和 挑战 都 是 多 个 的 (另外 一 个 区 别 是 
验证 方程 有 点 改动 ,这 是 因为 公 钥 和 私 钥 方程 有 改动 )。 因 此 , 某 种 意义 上 来 说 ,FFS 是 
并 行 的 FS 方案 。 

例 11.1 TA 取 p==7,g 二 13, 计 算 Blum 数 n= 二 7X13 二 91 并 公布 。 不妨 设 P 的 私 钥 
是 5 =9,ss 二 31,ss 二 67, 公 和 钥 是 vw ,vs,vs, 由 sfvi 二 1 mod 91, 得 到 w= 二 9。 同 法 可 得 到 
yy 一 25,ys 一 88。 

协议 执行 如 下 : 
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(1) P 随机 选择 一 个 整数 ~ 一 57, 计 算 zx= 王 57: mod 91 王 64, 把 zx 一 64 发 送 给 V。 
(2) 取 e 一 (1,1)} ,发 送 e 给 P。 


(3) P 计算 > 一 ~。 ITsy mod n 二 57s1s; mod n 二 57X9X31 mod 91 一 69 ,发 送 给 V。 
j=1 


(4) V 计算 = 一 六 lv 二 69?wvs mod 91 一 69:X9X25 mod 91 一 64, 验 证 通过 。 
(5) 重复 (一 (4)t 次 。 

思考 11.2 FFS 方案 的 假冒 成 功 的 概率 是 多 少 。 

每 一 轮 假冒 成 功 的 概率 为 1/2* ,t 轮 之 后 假冒 成 功 的 概率 为 2*。 

(对 照 : FS 方案 每 一 轮 假 冒 成 功 的 概率 为 1/2,t 轮 之 后 假冒 成 功 的 概率 为 2 。) 


11.3 Guillou-Quisquater 身份 识别 协议 


前 面 两 个 方案 均 基 于 模 的 平方 根 问 题 的 困难 性 。 下 面 介绍 一 种 基于 大 整数 分 解 问 
题 的 身份 识别 协议 Guillou-Quisquater(GQ) 方 案 , 是 由 LL. C. Guillou 和 J-J. Quisquater 
给 出 的 。 

GQ 身份 识别 协议 描述 如 下 : 


1. 参数 设置 。 
该 方案 需要 一 个 可 信和 机构 TA。TA 首先 选取 两 个 大 素数 p 和 9g, 计算 n= pq,p 和 9g 保密 ,n 公 
开 。TA 选择 一 个 大 素数 5 作为 公开 参数 ,也 称 为 公共 的 RSA 加 密 指数 。 通 常 是 满足 gcd(b， 
$(n)) 二 1 的 40 比特 长 的 素数 。 
证 明 者 A 选择 一 个 整数 4, 满足 0<u<n 一 1, 计 算 v= (wu-1)* mod n, 并 传递 给 TA,TA 计算 签 
名 SignrA(IDA || v) ,证 书 CertA 一 {IDA,u,SignrA(IDA ‖v))}。 整 数 n 和 w 是 公开 参数 ,v 是 A 的 
公 钥 ,u 是 A 的 私 钥 。 


2. 协议 消息 。 
A—B: Certa,t = modn 
AB:e(ll<e<b—1) 
A—>B:y=m’ modn 

3. 协议 执行 。 


(1) A 选择 随机 数 r,0<r<n 一 1, 计 算 z 一 二 mod n。 
(2) A 传送 Certs 和 z 给 了 B。 

(3) B 验证 CertA 。 

(4) B 选择 随机 数 e,0<<e<b 一 1, 并 传送 e 给 A。 

(5) A 计算 y=ru mod n, 并 传送 响应 y 给 B。 

(6) B 验证 是 否 有 zx 三 vy* mod n。 


该 协议 满足 以 下 要 求 : 

(1) 完备 性 。A 如 果 确 实 知道 其 秘密 信息 ( 私 钥 )w, 则 可 以 对 任意 挑战 计算 响应 。 昂 
知 v*y modn=v (ru )’ mod n= (vu)r’ mod n=r mod 7 一 工 。 

(2) 合理 性 。 如 果 伪 装 成 A 的 攻击 者 能 猜 出 B 的 挑战 e, 则 在 提交 zz 时 先 选 定 y ,并 
取 z==viy* mod n, 其 后 在 响应 消息 中 发 送 选 定 的 y, 则 会 导致 满足 验证 方程 。 这 种 假冒 


Ne/ 数字 签名 与 安全 协议 


成 功 的 概率 即 为 猿 中 。 的 概率 , 即 约 为 1/6。 


11.4 ” Schnorr 身份 识别 协议 


C. P. Schnorr 在 1989 年 设计 了 一 种 身份 识别 协议 ,该 协议 基于 离散 对 数 问题 的 困 
难 性 。 该 协议 的 计算 量 和 通信 量 都 不 大 ,特别 适合 计算 机 能 力 有 限 的 终端 设备 。 

在 介绍 Schnorr 身份 识别 协议 之 前 , 先 总 结 一 下 FS 和 GQ 两 种 方案 的 共同 点 ( 见 
表 11. 1), 从 而 体会 如 何 基于 离散 对 数 问题 设计 身份 识别 协议 。 


表 11.1 FS 和 GQ 身 份 识别 协议 的 对 比 


协议 参数 设置 协议 消息 协议 验证 
证 明 者 私 钥 : s A—B: r=r mod 7 

FS 证 明 者 公 钥 : A<B: e€ {0,1} yr modn 
v=s* modn A—>B: y=rs’ mod n 
证 明 者 私 钥 : v A—B: CertA ,z= modn 

GQ 证 明 者 公 钥 : A<B: e(1<e<b—1) z= y* mod n 
v=(u !')* modn A—>B: y=ru’ mod 7 


从 表 11. 1 中 可 以 发 现 一 个 一 般 规律 : 第 一 条 消息 表明 : 根据 协议 所 基于 的 困难 问 
题 ,提交 对 一 个 随机 值 -~ 的 承诺 commit。 第 二 条 消息 : 返回 挑战 challenge。 第 三 条 消 
息 : 根据 私 钥 (或 wj 返回 响应 , 形 如 response 二 rr， seme 。 对 此 的 理解 在 承诺 协议 介绍 
后 会 更 加 清楚 。 

根据 上 述 一 般 规律 ,下 面 介绍 Schnorr 身份 识别 协议 (以 下 改变 了 描述 方式 ,以 表述 
一 般 规律 )。A 与 B 分 别 是 证 明 者 和 验证 者 。 


1. 参数 设置 。 
两 个 大 素数 p 和 9g, 满 足 gl(p 一 1)。Z ,中 的 阶 为 g 的 元 素 p。v 是 Z ,中 的 元 素 , 这 里 "一 
8 mod psEZ，。 
于 是 (p,q,g,v) 是 经 过 TA 证 实 的 A 的 公 钥 ,A 的 私 钥 是 ;。 
2. 协议 执行 :二 logzlogzp 次 。 
(1) A 选择 rEZ, ,计算 commit=gr mod pp, 发 送 给 B。 
(2) B 选择 challenge(1 达 challenge 二 2 一 gq) ,发 送 给 A。 
(3) A 置 response 一 r 十 sS。challenge mod g, 发 送 给 B。 
(4) B 验证 等 式 commit 一 gurlme mod p 是 否 成 立 。 


Schnorr 身份 识别 协议 的 优点 是 可 以 预先 计算 指数 运算 (承诺 时 ) ,声称 者 只 需要 在 
线 计 算 ( 应 答 时 ) 一 次 模 乘 法 。 响 应 时 的 计算 量 比 FS 方案 和 GQ 方案 小 。 但 验证 者 的 计 
算 量 较 大 。 

例 11.2 选择 素数 p 二 48731, 其 中 p 一 1 能 够 被 q 一 443 整除 。 模 48731 的 生成 元 是 
6 ,计算 g 一 6 24 mod pp 二 11444。 系 统 参数 为 (18731,443,11444) 。 选 择 参 数 :一 8。 

A 选择 一 个 私 钥 * 王 357 ,计算 v 一 gmod pp 一 11444 55 mod 48731 一 7355 。 


第 了 11 章 “身份 识别 协议 


协议 消息 交换 过 程 如 下 : 
(1) A 选择 "一 274, 发 送 x 一 gr mod bp 一 1144424 mod 48731 二 31123 给 B。 
(2) B 发 送 给 A 随机 挑战 challenge 一 129 。 
(3) A 发 送 给 B 响应 : 
response 一 了 十 sS。challenge mod g = 274 十 357 X 129 mod 443 = 255 
(4) B 验证 
Eeepone vchllenge mod p = 11444’ X 735512 mod 48731 = 31123 = zx 


11.5 Okamoto 身份 识别 协议 


目前 还 没有 发 现 Schnorr 身份 识别 协议 是 可 证 明 安全 的 。 在 1992 年 的 Crypto'92 会 
议 上 ,T. Okamoto 提出 了 Schnorr 身份 识别 协议 的 改进 版 ,具有 可 证 明 安全 性 。 
Okamoto 身份 识别 协议 描述 如 下 : 


1. 参数 设置 。 
TA 选择 两 个 大 素数 p 与 9, 满 足 gl(p 一 1)。Z ,中 的 阶 为 g 的 元 素 。A 秘密 选择 wm ,s; EZ, ,并 
计算 出 Z ,中 元 素 v 二 gi" gz mod p。(p,q,g1,82，v) 是 TA 证实 的 A 的 公 钥 。 
2. 协议 消息 : 
(1) A 选择 ri,r; EZ,, 计 算 commit==gfi gs2 mod p, 发 送 给 B。 
(2) B 选 择 challenge(1] 和 challenge 委 2 一) 发 送 给 A。 
(3) A 置 
responsel 一 ni 十 51 * challenge mod g 
Tesponses = r» 十 5; * challenge mod g 
把 responsel ,response 发 送 给 B。 
(4) B 验证 commit 一 gf*”" grpowes vrhllenee mod p 是 否 成 立 。 


可 见 ,Okamoto 方案 和 Schnorr 方案 的 区 别 在 于 前 者 使 用 了 两 个 生成 元 g1,g。。 由 
于 当 尹 与 9 较 大 时 ,计算 离散 对 数 问题 logw g* 是 困难 的 ,这 也 正 是 Okamoto 方案 具有 可 
证 明 安 全 性 的 原因 。 但 是 ,Okamoto 方案 比 Schnorr 方案 的 计算 量 大 ,因而 速度 与 效率 
较 低 。 

最 后 需要 指出 的 是 : 身份 识别 协议 可 以 转换 为 签名 方案 ,方法 是 证 明 者 自己 构造 一 
个 挑战 ,这 一 挑战 的 构造 方法 通常 是 使 用 单 向 散 列 函数 ,以 达到 对 挑战 值 的 不 可 预测 性 。 
具体 而 言 ,使 用 一 个 公开 的 安全 散 列 函 数 来 代替 验证 者 提出 挑战 值 , 即 challenge==H(m， 
commit)。 这 种 方法 称 为 Fait-Shamir 启发 式 方法 。 例 如 ,对 m 的 签名 为 (commit， 
response) ,其 中 commit 一 gr" mod p,response 二 (7 十 有 H(z,m)) mod g(s 为 私 钥 )。 签 名 
验证 方程 为 commit 一 gone mod p(w 为 公 钥 )。 
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公 钥 加 密 优 于 对 称 密 钥 加 密 的 地 方 在 于 公 钥 加 密 不 需要 安全 信道 传送 密 钥 ,但 是 大 
多 数 公 钥 密码 体制 的 加 密 和 解密 速度 比 对 称 密 钥 慢 得 多 ,因而 公 钥 密码 通常 只 适合 对 少 
量 数据 的 加 密 ,而 大 量 或 者 频繁 的 数据 加 密 仍然 需要 依靠 对 称 密 钥 加 密 。 通 信 中 通常 需 
要 建立 网 络 用 户 间 的 共享 (会 话 ) 密 钥 ,如果 在 线 可 信 当 局 (trust authority,TA) 不 适用 或 
者 不 希望 有 一 个 在 线 TA, 则 可 以 利用 密 钥 协 商 (key agreement) 协 议 来 建立 通信 双方 之 
间 的 共享 密 钥 。 利 用 密 钥 协商 协议 建立 的 共享 密 钥 是 通信 双方 输入 消息 的 一 个 函数 。 


12.1 两 方 密 钥 协商 


1211 Diffie Halman 密 钥 协商 协议 


W. Diffie 和 M. Hellman 在 1976 年 提出 Diffie-Hellman 密 钥 协商 (key negotiation) 
协议 ,目的 在 于 使 通信 双方 利用 该 协议 可 以 在 一 个 公开 的 信道 上 建立 共享 的 会 话 密 钥 。 
该 协议 受到 了 Merkle 谜 题 协议 设计 思想 的 影响 ,该 协议 的 别名 还 包括 Diffie-Hellman 密 
钥 交 换 (key exchange) 、Diffie-Hellman 密 钥 认同 (key agreement) 、Diffie-Hellman 密 钥 
建立 (key establishment) 、 指 数 密 钥 交换 (exponential key exchange) Diffie-Hellman 协 
议 (protocol) 和 Diffie-Hellman 握手 (handshake)。 据 说 在 此 之 前 为 英国 智 吉 机 构 一 一 政 
府 通信 指挥 部 (Government Communications Headquarters, GCHQ) 工 作 的 (Malcolm 
Williamson) 就 已 经 发 明了 该 方法 ,但 GCHQ 直到 1997 年 才 公布 ,因而 在 学 术 界 没什么 
影响 。 

Diffie-Hellman 密 钥 协 商 协议 描述 如 下 (图 12. 1) 。 

U V 
om modp 
PS 
人 (oo )4 modp k=(o")™ modp 
图 12.1 Diffie-Heliman 密 钥 协商 协议 
设 p 是 一 个 大 素数 ,a€Z ,是 一 个 本 原 元 。p 和 a 公开 (也 可 由 U 发 送 给 V) 。 


(1) 用 户 U 随机 选取 eu ,2<<au 夺 p 一 2。 
(2) 用 户 U 计算 wu mod p, 并 将 结果 传送 给 用 户 V。 
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(3) 用 户 V 随机 选取 av ,2 二 av 三 p 一 2。 

(4) 用 户 V 计算 wev mod p ,并 将 结果 传送 给 用 户 U。 

(5) 用 户口 计算 k= (aev )“o mod p。 

(6) 用 户 V 计 算 k= (oru)“v mod p。 

于 是 ,& 为 用 户 U 和 用 户 V 的 共享 会 话 密 钥 。 

不 难看 出 ,Diffie-Hellman 密 钥 协商 协议 的 安全 性 主要 是 基于 有 限 域 上 离散 对 数 问 
题 的 难 解 性 。 

例 12.1 设 p=27803,a 二 5。p 是 素数 ,a€2Z ,是 一 个 本 原 元 。 

假设 用 户 U 选取 au 二 169, 计 算 ou 一 weu mod p= 二 5” mod 27803 一 6268 ,然后 用 户 U 
将 结果 bu 二 6268 传送 给 用 户 V。 

假设 用 户 V 选取 av 二 23456, 计 算 bv 二 a"v mod Pp 二 5 mod 27803 二 26759, 然 后 用 
户 V 将 结果 bv 二 26759 传送 给 用 户 U。 

当 用 户 U 收 到 bv 后 ,计算 密 钥 k==by mod p 二 26759'”? mod 27803 一 6998。 

当 用 户 V 收 到 bu 后 ,计算 密 钥 k=bd mod p 二 6268”55 mod 27803 一 6998。 

用 户 U 和 用 户 V 之 间 的 共享 密 钥 为 k= 二 6998。 

Diffie-Hellman 密 钥 协商 协议 的 原理 如 下 。 

通信 双方 统一 两 个 数 D 和 瓦 。 了 与 互 无须 对 外 保密 。 双 方 各 自选 择 一 个 秘密 的 数 
六, 并 把 包括 D,H 入 的 计算 结果 Y 发 送 给 对 方 。 例 如 ,假设 甲 方 选中 了 XX; , 则 发 出 了 
Yi ;乙方 选中 了 X: , 则 发 出 了 Yaz。 

根据 算法 ,双方 各 自 使 用 自己 选择 的 X 和 收 到 的 了 ,计算 出 一 个 统一 的 数字 K。K 
就 是 双方 进一步 通信 的 会 话 密 钥 。 具 体 地 讲 ,K 可 以 从 (Xi,Ys) 或 C(X ,Yi) 中 导出 ,但 不 
能 从 (Yi,Y,) 中 得 到 。 这 一 点 的 重要 意义 在 于 ,窃听 者 虽然 可 以 得 到 D, 电 ,Yl 和 Y, ,其 
至 密 文 ,但 由 于 不 知道 X, 和 Xs 的 值 ,因此 无 法 导出 正确 的 会 话 密 钥 ,从 而 也 就 无 法 破 
解密 文 。 

以 后 通信 时 ,双方 便 使 用 KK 进行 加 密 和 解密 。 

从 这 个 一 般 性 讨论 中 可 以 发 现 ,Diffie-Hellman 算法 的 局 限 在 于 它 需 要 收发 双方 必 
须 同 时 参与 密码 的 生成 过 程 ,所 以 它 不 适合 电子 邮件 的 加 密 , 因 为 电子 邮件 在 收 信人 不 在 
场 时 也 应 当 能 够 发 送 过 去 。 

Diffie-Hellman 密 钥 协商 协议 可 以 很 容易 地 推广 到 椭圆 曲线 上 。 椭 圆 曲 线 上 的 
Diffie-Hellman 密 钥 协商 协议 描述 如 下 (图 12. 2)。 


好 V 
nuPmodp 
一 一 


mvP mod 己 
k=nu(nv P) mod p k=ny(nuP) mod p 


图 12.2 Diffie-Hellman 密 钥 协商 协议 的 椭圆 曲线 版 本 


设 E 是 有 限 域 Zz。 上 的 椭圆 曲线 ,PEE, 并 且 P 的 阶 足 够 大 ,使 得 由 了 生成 的 循环 群 
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上 的 离散 对 数 问题 是 难 解 的 。 设 是 点 P 的 阶 . E 和 P 公开 。 
(1) 用 户 U 随机 选取 整数 nu ,1<nu 二 nn。 
(2) 用 户 U 计算 nuP mod p, 并 将 结果 传送 给 用 户 V。 
(3) 用 户 V 随机 选取 整数 ny ,1<nv 二 nn。 
(4) 用 户 V 计算 zwvP mod p, 并 将 结果 传送 给 用 户 U。 
(5) 用 户 U 计 算 k=nu(nvP) mod p。 
(6) 用 户 V 计 算 k=nv(nuP) mod p。 
& 为 用 户 U 和 用 户 V 的 共享 会 话 密 钥 。 
不 难看 出 ,椭圆 曲线 上 的 Diffie-Hellman 密 钥 协商 协议 的 安全 性 主要 是 基于 椭圆 曲 


线 上 离散 对 数 问题 的 难 解 性 。 

Diffie-Hellman 密 钥 协商 协议 非常 简洁 ,许多 密 钥 协商 协议 都 是 在 其 基础 上 设计 而 
成 的 。Diffie-Hellman 密 钥 协商 协议 在 安全 性 能 上 U A V 
看 起 来 没有 什么 问题 ,但 其 实 它 容易 受到 主动 敌手 om Oe 
的 中 间 人 攻击 (Man-in-the-Middle Attack, MITM 四 
Attack) 。 oo 二 

假设 A 是 一 个 主动 敌手 。A 对 Diffie-Hellman 
密 钥 协商 协议 的 中 间 人 攻击 如 图 12. 3 所 示 。 图 12.3 对 Diffie-Hellman 密 钥 协 

A 在 对 Diffie-Hellman 密 钥 协商 协议 进行 中 间 商 协议 的 中 间 人 攻击 


人 攻击 时 , 插 在 用 户 U 和 用 户 V 之 间 ,截获 U 和 
传送 的 消息 并 替换 成 自己 的 消息 。 在 协议 结束 时 ,用 户 U 实际 上 与 A 建立 了 一 个 共享 密 
钥 a%% ,用 户 V 也 与 A 建立 了 一 个 共享 密 钥 wo"v ,而 用 户 U 和 用 户 V 之 间 并 没有 建立 
一 个 共享 的 密 钥 。 在 这 种 情况 下 , 当 用 户 U 将 消息 加 密 传 送 给 用 户 V 时 ,A 能 解密 从 而 
获得 消息 ,而 V 不 能 解密 从 而 无 法 获得 消息 。 反 过 来 , 当 用 户 V 向 用 户 U 传送 加 密 消息 
时 也 存在 同样 的 问题 。 

思考 12.1 如 何 抵抗 针对 Diffie-Hellman 密 钥 协商 协议 的 中 间 人 攻击 ? 

抵抗 中 间 人 攻击 的 方法 是 当 用 户 U 和 用 户 V 接收 到 对 方 传送 过 来 的 消息 时 进行 身 
份 认证 。 


1212 端 到 端 密 钥 协商 协议 


W. Diffie 和 P. C. Van Oorschot 以 及 M.J. Wiener 于 1992 年 给 出 的 端 到 端 (Station- 
to-Station,STS) 协 议 是 对 Diffie-Hellman 密 钥 协 商 协议 的 一 个 修改 。 端 到 端 协议 可 以 抵 
抗 中 间 人 攻击 。 在 端 到 端 协议 中 ,假设 每 个 用 户 U 都 可 以 签名 ,签名 生成 算法 为 Signu ， 
签名 验证 算法 为 Vrfyu。 假 设 TA 也 有 一 个 签名 方案 ,签名 算法 为 Signra, 公 开 的 签名 验 
证 算法 为 Vrfyrs。TA 给 每 个 用 户 U 事先 发 放 一 个 证 书 (certificate) ; 

CCU) = (ID(U),Vrfyu,SignrA(ID(U),Vrfyu)) 
其 中 IDCU) 是 用 户 U 的 身份 信息 。 
下 面 给 出 简化 了 的 端 到 端 协议 。 假 设 p 是 一 个 大 素数 ,a€Z ,是 一 个 本 原 元 。p 和 a 
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(1) 用 户 U 随机 选取 au ,1 二 au 志 p 一 2。 

(2) 用 户 U 计算 weu mod p, 并 将 结果 传送 给 用 户 V。 

(3) 用 户 V 随机 选取 ay,1<av 夺 p 一 2。 

(4) 用 户 V 首先 计算 wv mod p。 然 后 V 计算 k= (av)*v mod p,yv 王 Signv (av mod 
pa mod p)。 

(5) 用 户 V 将 CCCV) ,av mod p,yv) 传 送 给 U。 

(6) 用 户 U 计算 = (ov )“o mod p。 用 户 U 利用 Vrfyv 验证 yv ,利用 Vrfyrs 验 
证 CCV) 。 四 六 

(7) 用 户 U 计算 yu 二 Signu(a'v mod pva'v mod p)。 om 
然后 用 户 U 将 (CCU)yu) 传 送 给 用 户 V。 

(8) 用 户 V 利用 Vrfyu 验证 wo ,利用 Vrfym 验 证 | Seve 


CCU) 。 Signu(owoev) 
在 端 到 端 协议 中 ,用 户 U 和 用 户 V 之 间 在 信道 上 传 | ~ 
送 的 消息 可 以 用 图 12.4 来 说 明 。 图 12.4” 端 到 端 协 议 中 
思考 12.2 ”为 什么 端 到 端 协议 可 以 抵抗 中 间 人 攻击 ? 消息 的 传输 


下 面 解 释 端 到 端 协议 如 何 抵抗 中 间 人 攻击 。 假 设 A 
是 一 个 主动 的 敌手 , 插 在 用 户 U 和 用 户 V 之 间 。A 对 端 到 端 协议 的 中 间 人 攻击 如 
图 12.5 所 示 。A 截获 用 户 U 发 送 的 ou ,将 其 替换 为 wu ,然后 A 截获 用 户 V 发 送 的 wev 
和 Signv lav ,asu)。A 可 以 将 wev 蔡 换 为 ov ,同时 A 必须 将 Signv (aev ,asu ) 蔡 换 为 Signv 
lav ,au)。 但 是 ,因为 A 不 知道 用 户 V 的 签名 算法 Signv ,所 以 他 无 法 计算 用 户 V 对 
(as ,as ) 的 签名 Signv(Cov ,ou)。 同 样 地 ,由 于 A 不 知道 用 户 U 的 签名 算法 Signu ,所 以 也 
无 法 将 Signu (osu ,asv ) 蔡 换 为 Signu (Cos ,aev )。 因 此 , 端 到 端 协议 可 以 抵抗 中 间 人 攻击 。 


U A V 
Qa on 
一 一 
osv, Signv(oe ,oo )=? Qa™, Signv(ow,oe) 
运 运 
Signu(aw,aeV) Signu(oow,oew=? 


图 12.5 ” 端 到 端 协议 对 中 间 人 攻击 的 防御 
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同 端 到 端 密 钥 协商 协议 一 样 ,MTI 密 钥 协商 协议 是 Matsumoto、Takashima 和 Imai 
通过 改进 Diffie-Hellman 密 钥 协商 协议 而 构造 的 。 与 端 到 端 相 比 , 它 的 好 处 是 不 需要 计 
算 任何 签名 ,另外 , 它 需要 从 用 户 UU 到 V 以 及 从 用 户 V 到 U 的 两 次 消息 传输 ,而 端 到 端 
需要 三 次 消息 传输 。 

假设 p 是 一 个 大 素数 , 且 a(0 二 a 二 p) 是 循环 群 Z ,的 生成 元 ,a 和 pp 公开 。 参 与 系统 
的 每 一 个 用 户 ( 例 如 U) 都 有 一 个 ID(U) (标识 用 户 的 身份 信息 ) ,一 个 私 钥 zu (1 二 xu 三 
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p 一 2) 和 一 个 公 钥 yu 一 oru mod p;TA 有 一 个 数字 签名 方案 ,假设 其 公开 的 验证 算法 为 
Vrfyrs 和 秘密 的 签名 算法 Signra ;每 个 用 户 ( 例 如 U) 都 有 一 个 证 书 Certu=(IDCU) ,yu， 
Signra (ID(U) ,yu)) 绑 定 其 公 钥 和 身份 标识 。 


MTI 密 钥 协商 过 程 如 下 : 

(1) 用 户 U 选取 一 个 随机 数 ru(1 三 ru 三 p 一 2) ,计算 sv 二 a mod 访 , 把 (Certu su) 发 
送 给 V。 

(2) 用 户 V 选取 一 个 随机 数 ry(1 志 ry 三 p 一 2) ,计算 sy 二 a mod p, 把 (Certy ,svy) 发 
送 给 U。 

(3) 用 户 U 接收 到 sv 后 ,计算 K=s” y” mod p(yv 是 用 户 U 从 所 接收 到 的 用 户 V 
的 证 书 Certv 得 到 的 ) ,同时 用 户 V 计算 K=syyy JU V 
(yu 是 用 户 V 从 所 接收 到 的 用 户 U 的 证 书 Certu 得 Certu, su= ov mod p 
到 的 )。 


Certy, sy = ov mod p 

由 于 sv yy 一 avrutwu 一 sy ,经 过 两 次 消息 
传递 后 ;用 户 U 和 V 建立 了 会 话 密 钥 版 5 协议 执行 示 图 12.6 MTI 协 议 的 交互 过 程 
意图 如 图 12.6 所 示 。 

例 12.2 假设 素数 p= 二 29, 选 取 有 限 域 Z ss 的 生成 元 a 二 11。U 选择 私 钥 zu 一 15, 得 
到 公 钥 yu 二 11” mod 29 二 18, 用 户 UU 将 yu 传递 给 TA,TA 签名 后 得 到 U 的 证 书 Certu。 
同样 ,用 户 V 选择 私 钥 zy 二 23, 公 钥 为 yv= 二 11” mod 29 二 27。V 将 自己 的 公 钥 发 送 给 
TA,TA 签名 后 得 到 V 的 证 书 Certv 并 发 送 给 V。 用 户 U 和 V 运行 MTI 协议 建立 会 i 
密 钥 时 ,用 户 U 选择 了 ru 二 13, 然 后 U 计算 su 二 11* mod 29 二 21, 把 (Certu ,21) 发 送 给 
V ,用户 V 选择 rv 二 25, 计 算 sy 二 11”mod 29 王 19 ,并 把 (CCertv ,19) 发 送 给 U。 

现在 ,用 户 U 可 计算 共享 密 钥 人 =s yy 二 19”， X27 mod 29 一 5; 同 样 ,V 可 计算 共 
享 密 钥 尺 = 二 sy y0 二 213X18”mod 29=5。U 和 V 得 到 相同 的 密 钥 。 

思考 12.3 MTI 协议 为 何 可 以 抵抗 中 间 人 攻击 ? 

如 果 出 现 中 间 人 攻击 , 则 用 户 U 和 V 将 得 到 不 同 的 密 钥 : 用 户 U 计算 得 到 密 钥 K = 
arurvtm mod 力 , 用 户 V 计算 民 ' 一 arv+rvzu mod p, 显 然 K 关 K'。 攻 击 者 无 法 计算 得 到 
任何 密 钥 ,因为 密 钥 的 运算 需要 知道 私 钥 zu,zv。 即 使 U 和 V 计算 了 不 同 的 密 钥 ,敌手 
也 无 法 知道 这 两 个 密 钥 中 的 任何 一 个 。 

也 就 是 说 ,用 户 U 和 V 深信 另 一 用 户 是 网 络 中 能 计算 出 自己 已 计算 的 密 钥 的 唯一 用 
户 , 这 种 特性 也 称 为 隐 式 密 钥 认证 。 
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通常 通信 双方 必须 用 他 们 的 私 钥 来 产生 共享 密 钥 ,从 而 可 以 证 明 其 对 私 钥 的 拥有 。 
这 种 密 钥 协商 提供 了 更 强 的 认证 ,保证 恶意 的 一 方 不 能 伪装 成 第 三 方 , 通 信 量 少 ,而 且 不 
需要 加 密 和 时 间 惟 。 

ECMQYV 的 过 程 描述 如 下 : 

假设 Alice 拥有 椭圆 曲线 密 钥 对 (A,a), 通 过 Bob 拥有 (B.5),P 为 基点 ,已 经 通过 
CA 认证 中 心 验证 其 拥有 的 公 钥 通过 可 信 方 式 交 换 , 私 钥 的 所 属 权 也 得 以 证 明 。Alice 产 
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生 临 时 会 话 密 钥 对 (X,z),z 随机 产生 ,X=zP。 同 样 地 ,Bob 产生 临时 会 话 密 钥 对 (Y， 
y),y 随机 产生 ,Y= 二 yP。 通 信 过 程 如 图 12.7 所 示 。 


预 产 生 (4,a); | 预 产 生 (B,b); 
产生 (Xx); l 7 | 产生 (Yy); 
计算 :Ss(xtxa) mod n 一 | 计算 :Sy+7b) mod n 
1 1 
1 不 安全 信道 | 
共享 窗 钥 K 
K=hS( Y+5B) 训 密 镁 K=hSs( X+x4) 


图 12.7 ECMQYV 密 钥 协商 机 制 


Alice 计算 $4 二 (x 十 Ta) mod n, 称 为 固有 签名 ,n 为 域 大 小 。 
Bob 计 算 Ss 二 (y 十 36) mod n。 
双方 共同 计算 共享 密 钥 : 

K = hSa(Y+3B) = hSs(X+7zA) 


这 里 ,h 为 公 因 子 ,z,5 代表 点 X 或 Y 的 第 一 个 域 元 素 的 前 志 比特 ,这 里 一 加 2 


安全 性 : 可 以 保证 第 三 方 不 能 够 伪造 双方 的 私 钥 , 因 为 第 三 方 没 有 双方 的 私 钥 a,b， 
所 以 不 能 够 计算 出 K 值 。 如 果 双 方 通信 后 得 到 的 K 值 相 等 , 则 说 明 双 方 的 身份 可 以 确 
定 是 真实 的 , 密 钥 对 正确 无 误 ; 否 则 ,双方 拒绝 密 钥 对 的 可 靠 性 。 

总 之 ,一 般 地 ,设计 认证 的 密 钥 建立 (协商 ) 协 议 通 常会 综合 运用 各 种 密码 学 知识 ,例如 : 

(1) 数据 保密 : 密 钥 及 数据 的 传输 与 存储 应 该 是 保密 的 。 

(2) 算 改 检测 : 能 检测 到 对 通信 的 主动 攻击 。 

(3) 身份 的 识别 : 在 双向 通信 中 ,参与 通信 的 双方 都 能 通过 身份 识别 确认 通信 对 方 
的 真实 性 。 

(4) 密 钥 的 新 鲜 度 : 保证 所 使 用 的 密 钥 不 是 过 时 的 。 

(5) 密 钥 控制 : 选择 密 钥 或 选择 计算 机 密 钥 参数 的 能 力 。 

(6) 密 钥 的 隐 式 鉴别 (implicit key authentication) : 保证 只 有 适当 的 用 户 才能 拥有 相 
应 的 密 钥 。 

(7) 密 钥 的 确信 (key confirmation) : 保证 适当 的 用 户 一 定 拥有 相应 的 密 钥 。 

(8) 前 向 保密 性 (perfect forward secrecy) : 如 果 有 一 天 ,长 期 使 用 的 密 钥 泄露 了 , 保 
证 不 会 泄露 以 前 的 会 话 密 钥 。 

(9) 效率 : 涉及 传输 的 效率 和 加 密 、 解 密 计算 的 复杂 度 。 
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前 面 主要 介绍 的 是 两 方 密 钥 协商 ,有 些 时 候 可 能 需要 多 方 共享 的 密 钥 ,这 种 密 钥 称 为 
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会 议 密 钥 (conference key) 或 者 组 密 钥 (group key) 。 在 互联 网 上 的 各 种 协作 式 应 用 ,如 
多 媒体 电子 会 议 .游戏 和 数据 库 等 中 .一 个 多 方 共享 的 密 钥 会 将 数据 加 密 、 数 据 完整 性 和 
实体 认证 等 服务 变 得 简单 有 效 。 如 何 有 效 地 建立 和 管理 这 种 多 方 共享 密 钥 是 安全 服务 的 
关键 。 

建立 会 议 密 钥 的 困难 性 主要 包括 如 下 方面 : 群 组 成 员 的 加 入 和 离开 ; 群 组 的 合并 和 
分 离 ; 释 加 问题 (在 一 个 成 员 加 入 时 又 有 其 他 成 员 加 入 ); 通 信和 计算 时 间 代 价 ; 周 期 地 重 
复 建立 共享 密 钥 。 

下 面 介 绍 一 种 典型 的 会 议 密 钥 协议 。 该 协议 中 及 个 用 户 , 允 许 任意 1 个 用 户 组 成 
的 群 组 通过 不 安全 信道 推导 出 一 个 共享 的 会 议 密 钥 。 这 个 会 议 密 钥 是 动态 的 ,而 且 不 同 
的 + 个 用 户 小 组 生成 的 会 议 密 钥 不 同 。 

假定 个 用 户 中 的 任意 zt 个 成 员 标 识 符 为 Uo,U,,…,U,_1,p,g 是 共享 的 两 个 大 素 
数 ,其 中 gl(p 一 1), 而 a 是 Z; 的 g 阶 元 。 

会 议 密 钥 的 生成 协议 如 下 : 

(1) 每 个 用 户 Ui;(i==0,1,2,…,t 一 1) 选 取 一 个 随机 数 r;E {1,2,…,g 一 1) ,计算 = 一 
os mod p, 并 将 = 广播 分 发 给 该 组 的 其 他 :一 1 个 成 员 。 

(2) 每 个 用 户 U; 验证 : xz 三 1 mod p。 

(3) 每 个 用 户 U; 接收 到 用 户 U;_1 ,Ui+1 的 消息 zi-1 ,zit1s 计 算 zi 二 (zi41/z;_1)" mod 
:并 将 zx; 分 发 给 该 组 其 他 1 一 1 个 成 员 。 

(4) 每 个 用 户 Ui 接收 到 zi (0<5 委 :一 1 且 j 关 让 ,计算 


K = K; = (ztzlzri ri») mod p 


正确 性 验证 : 
步 又 (3) 中 ， 
Zi= (zin/zi)" mod p =a "Vn modp 
一 or mod p 
步骤 (4) 中 ， 


K= 开 ; = (2 人生 Zi-2 ) mod p 


一 gD gr TD gia i (2) 。。 


为 简化 , 仅 观察 指数 。 发 现 U; 计算 的 K 为 天 一 ac ,这 里 
Ci = ririi 十 rinri tt ritarin Trip2 Tite heen 1Tih2 
下 标 i 的 范围 为 [0,t 一 1], 故 对 t 取 模 ,可 发 现 所 有 的 U; 共 会 议 密 钥 即 为 
K = anntnastt-arihrio mod p 

在 协议 的 步骤 (2) 和 步骤 (3) 中 ,所 有 的 下 标 i 一 1,i 一 2 和 i 二 1 等 的 计算 都 是 关于 模 1 
的 运算 。 当 协议 完成 后 ,所 有 群 组 内 合法 用 户 都 可 以 计算 出 相同 的 会 议 密 钥 k= 
amnntnetwtnnitn-%n mod p, 而 群 组 外 的 其 他 人 不 能 获取 任何 有 用 的 信息 。 特 别 要 指 
出 的 是 , 当 t 二 2 时 ,协议 生成 的 会 议 密 钥 为 天 一 (am 六 mod p, 人 恰好 是 标准 Diffie- 
Hellman 密 钥 协商 协议 建立 的 共享 密 钥 的 平方 。 该 协议 的 局 限 是 无 法 抵抗 中 间 人 攻击 ， 
因为 没有 包含 对 实体 的 认证 。 


Qi i? ite—2 "ihe—3 


第 亿 章 ” 密 铀 协商 协议 \ 思 二 
1222 Shanmir 三 次 传递 协议 


作为 一 个 有 趣 的 扩展 ,这 里 介绍 一 个 Shamir 发 明 的 一 个 协议 ,可 以 使 通信 双方 无 须 
事先 交换 任何 秘密 密 钥 (知道 对 方 的 公开 密 钥 ) 就 可 进行 保密 通信 。 协 议 中 需要 用 到 一 个 
可 交换 的 对 称 密码 : Ea (Es(P)) 二 Es(Ea(P))。 

Alice 的 秘密 密 钥 为 A,Bob 的 秘密 密 钥 为 B,Alice 想 给 Bob 发 送 一 个 消息 M, 协 议 
如 下 : 

(1) Alice 用 自己 的 秘密 密 钥 加 密 M, 同 时 把 密 文 C 二 Es(M) 发 送 给 Bob。 

(2) Bob 用 自己 的 密 钥 加 密 C ,同时 把 密 文 C, 二 Es (Ea (M) ) 发 送 给 Alice。 

(3) Alice 用 自己 的 密 钥 解 密 C: ,同时 把 结果 Cs 二 Da (Es (Ea (M))) 二 Es(M) 发 
给 Bob。 

(4) Bob 用 自己 的 密 钥 解密 Cs 恢复 明文 消息 M。 

该 协议 不 能 使 用 “一 次 一 密 ” 作 为 加 密 算法 (原因 留 作 思考 )。Shamir 描述 了 一 个 适 
于 该 协议 的 加 密 算法 ,类 似 于 RSA。 设 p 是 一 个 大 素数 ,p 一 1 有 一 个 大 的 素 因子 ,选择 
加 密 密 钥 e, 使 e 与 p 一 1 互 素 。 计算 d 使 de 圭 1 mod (p 一 1)。 加 密 函 数 为 C=M* mod 
,解密 时 计算 M 二 C* mod p。 该 协议 不 能 防止 中 间 人 攻击 。 
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13.1 比特 承诺 


1982 年 Blum 提出 了 比特 承诺 (bit commitment) 的 概念 0,1989 年 M， Naor 对 比特 
承诺 进行 了 系统 研究 , 它 是 密码 协议 的 重要 组 成 部 分 之 一 ,有 很 强 的 应 用 背景 ,例如 在 网 
上 电子 投标 (拍卖 )、 电 子 现 金 (E-Cash)、 电 子 投票 (E-Voting) ,在线 游 戏 中 。 它 还 是 零 知 
识 证 明 、 身 份 识别 协议 、 安 全 多 方 计算 、 盲 签名 的 基础 协议 。 一 般 地 说 ,任何 一 个 密码 协议 
都 可 以 分 解 成 一 系列 比特 承诺 方案 。 比 特 承 诺 方案 大 都 是 基于 数论 中 的 困难 问题 。 它 要 
解决 的 问题 是 : A 向 B 承 诺 一 个 预测 (可 以 是 一 个 比特 ) ,直到 一 段 时 间 后 才 揭示 A 的 预 
测 ,在 这 期 间 ,A 不 能 改变 自己 的 预测 。 
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一 个 形象 的 比喻 是 : Alice 把 要 承诺 的 比特 5b 放 入 一 个 箱子 ,用 一 把 只 有 Alice 拥有 
的 钥匙 才能 开启 的 锁 来 锁 住 箱子 ,然后 把 这 个 箱子 交 给 Bob, 当 需要 向 Bob 证 实 承诺 时 ， 
把 比特 6 和 打开 箱子 的 钥匙 交 给 Bob,Bob 通过 打开 箱子 可 以 验证 比特 5 的 内 容 没 有 改 
动 , 因 为 Bob 相信 箱子 在 Bob 的 保管 期 间 承诺 没有 被 算 改 。 

比特 承诺 是 构造 密码 协议 的 基本 组 成 部 分 ,比特 承诺 一 般 包 括 两 个 阶段 : 承诺 
(commit) 阶 段 和 打开 (reveal) 阶 段 。 在 承诺 阶段 ,发 送 方 (承诺 者 )Alice 选择 一 个 要 承诺 
的 比特 5b(b 等 于 0 或 1), 并 把 能 屏蔽 该 比特 的 消息 下 发 送 给 Bob; 在 打开 阶段 ,Alice 把 密 
钥 KK 和 下 发 送 给 接收 方 (验证 者 )Bob,Bob 打开 下 并 验证 6 是 否 是 Alice 承诺 的 比特 。 

一 个 安全 的 比特 承诺 方案 必须 满足 两 个 性 质 : 屏蔽 性 (concealing) 和 绑 定 性 
(binding)。 屏 蔽 性 要 求 在 协议 的 承诺 阶段 结束 时 ,接收 方 得 不 到 发 送 方 承诺 的 比特 6。 的 
值 ,即使 一 个 不 诚实 的 接收 方 也 要 满足 这 个 条 件 。 绑 定性 要 求 在 打开 阶段 结束 时 ,接收 者 
只 能 接受 一 个 合法 的 承诺 ,即使 发 送 者 试图 欺骗 时 该 条 件 也 成 立 。 

一 个 比特 承诺 中 ,可 将 Alice 称 为 一 个 证 明 者 或 承诺 者 P, Bob 称 为 验证 者 V。 方 案 
中 使 用 到 的 函数 叫做 比特 承诺 函数 。 比 特 承 诺 方案 的 一 个 典型 框架 如 下 : 

步骤 1 比特 承诺 函数 的 选 定 。 

设 承诺 者 P 有 一 个 比特 bE {0,1),X 与 Y 是 两 个 有 限 集 。 函 数 : f:{0,1} XX>Y 
称 为 比特 承诺 函数 ,如 果 对 从 X 中 随机 选取 的 一 个 元 素 zz, 满足 下 列 性 质 : 


© M.Blum.Coin Flipping by Telephone. Proc. of IEEE Sprint COMPCOM. New York: IEEE Press,1982: 133- 
137. 
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(1) 屏蔽 性 (concealing)。 对 任意 5E {0,1}) ,验证 者 不 能 从 f(65,z) 确 定 5。 

(2) 绑 定性 (binding)。 事 后 承诺 者 可 通过 透露 x 的 值得 到 值 14(5,x) ,使 验证 者 相信 
f(b,z) 是 5 的 承诺 。 前 提 是 承诺 者 不 能 找到 zi ,zs ,使 得 f(0,zi) 一 F(1,zs)。 

直观 地 说 ,屏蔽 性 使 验证 者 在 6b 被 公开 前 不 能 从 f(b,zx) 获 得 5 的 值 , 绑 定 性 使 得 承 
诺 者 在 作出 承诺 后 不 能 改变 承诺 的 信息 。 因 此 ,屏蔽 性 代表 承诺 者 的 安全 性 , 绑 定 性 代表 
验证 者 的 安全 性 。 屏 蔽 性 和 绑 定性 分 别 代表 了 双方 的 不 同 利益 ,所 以 了 应 由 双方 共同 选 
定 , 或 由 可 信 第 三 方 选 定 。 

步骤 2 比特 承诺 的 承诺 阶段 。 

(1) 承诺 者 P 随机 选取 比特 串 x。 

(2) P 选 定 要 承诺 的 比特 构成 的 信息 5。 

(3) P 计算 出 f(5,z) 的 值 > 并 发 送 给 V。 

步骤 3 比特 承诺 的 打开 阶段 。 

(1) P 将 (0,z) 发 送 给 V。 

(2) V 计算 Fo,z) 并 与 y 比较 是 否 相 等 。 如 相等 , 则 V 接受 P 的 承诺 ,否则 拒绝 。 

可 见 , 比 特 承 诺 方 案 是 具有 两 个 阶段 的 密码 协议 。 
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1. 利用 单 向 散 列 函数 构造 比特 承诺 方案 

承诺 者 P 向 验证 者 V 承诺 一 个 比特 5, 可 利用 单 向 函数 构造 如 下 方案 。 

承诺 阶段 

(1) P 和 V 共同 选 定 某 个 单 向 函数 hh。 

(2) P 随机 产生 两 个 比特 串 : Ri ,Rs ,P 选 定 要 承诺 的 比特 5( 可 能 是 一 个 比特 或 比特 
串 ) ,P 计算 单 向 函数 值 h(Ri,R, ,5) ,并 将 结果 及 其 中 一 个 随机 串 ,如 Ri ,一 起 发 送 给 V。 

打开 阶段 : 

(1) P 将 (Ri ,Rs,0) 或 (Ri ,Rs.0) 和 单 向 函数 hh 一 起 发 送 给 V。 

(2) V 计算 CRi,R, ,5) 的 单 向 函数 值 ,并 将 该 值 和 承诺 阶段 第 (2) 步 收 到 的 单 向 函数 
值 比较 (同时 比较 收 到 的 (Ri ,R, ,5) 和 承诺 阶段 第 (2) 步 收 到 的 Ri) ,检验 比特 的 有 效 性 。 

上 述 协 议 中 ,h(Ri,R;,6) 和 Ri 是 P 向 V 的 承诺 证 据 。P 利用 单 向 函数 和 随机 数 阻 
止 V 对 函数 求 道 以 确定 承诺 的 比特 。 同 时 ,由 于 单 向 函数 有 的 抗 碰撞 性 ,P 找 不 到 Rs ,使 
得 有 (Ri,R2.0) 二 h(Ri ,Ris,b ), 从 而 不 可 能 欺骗 V。 

注意 : 如 果 了 不 保持 R, 的 秘密 性 ,那么 V 能 够 计算 hh(Ri ,Rs,1) 以 及 h(Ri,R,,0)， 
并 比较 从 了 接收 到 的 值 几 CR ,R: ,0) ,从 而 算出 0。 

2. 利用 对 称 密码 算法 的 比特 承诺 方案 

承诺 阶段 : 

(1) P 和 V 共同 选 定 某 种 对 称 加 密 算法 E。 

(2) V 产生 一 个 随机 比特 串 R, 并 把 它 发 送 给 P。 

(3) P 首先 生成 一 个 想 承诺 的 比特 5( 也 可 能 是 一 个 比特 串 , 即 承诺 一 个 消息 ) ,然后 
利用 对 称 加 密 算法 对 (R,5) 进 行 加 密 运 算得 出 c 二 Ei(R.5) ,发 送 c< 给 V。 
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打开 阶段 : 

(1) P 将 密 钥 上 及 6b 发 送 给 V。 

(2) V 利用 密 钥 解 密 c ,并 利用 随机 串 RR 检验 比特 45 的 有 效 性 。 

上 述 协 议 中 ,c 是 P 承诺 的 证 据 ,因为 V 没有 密 钥 ,无 法 得 知 P 承诺 的 比特 值 。 如 果 
承诺 c 二 Ei(R,b) 中 不 包含 V 给 出 的 随机 串 尺 , 则 P 可 在 承诺 后 通过 使 用 不 同 的 来 解密 
< 容易 找到 不 同 的 5, 从 而 可 以 欺骗 V; 但 是 由 于 承诺 c==Ei(R,5) 中 包括 了 R,P 要 想 找到 
一 个 新 的 5, 和 随机 串 尺 一 起 加 密 后 为 c 的 概率 是 很 小 的 。 

比较 基于 单 向 散 列 函数 的 方案 和 基于 对 称 密码 加 密 的 方案 ,前 者 的 优势 在 于 不 需要 
验证 者 发 送 任何 消息 。 下 面 给 出 几 个 基于 单 向 函数 的 方案 的 实例 。 

例 13.1 基于 Goldwasser-Micali 概率 加 密 体 制 的 比特 承诺 方案 。 

承诺 函数 的 单 向 性 基于 在 不 知道 ”的 素数 因子 时 ,求解 模 的 平方 根 的 困难 性 。 

选 定 比 特 承 诺 函 数 : 

设 n==pg 是 两 个 大 素数 p 与 gq 之 积 ,t 是 模 n 的 一 个 随机 选取 的 平方 非 剩 余 。 取 
X=Y=2; ,f:{0,1} XX—>Y 为 (0,z) 一 zz2 mod n。 

承诺 阶段 : 

(1) 承诺 者 P 随机 选取 比特 串 zxEZ， 。 

(2) P 选 定 要 承诺 的 比特 5, 计算 c= 二 (6,z) 二 zx? mod n, 发 送 给 验证 者 V。 

打开 阶段 : 

(1) P 将 上 与 (0,z) 发 送 给 V。 

(2) V 计算 wr? mod 2 ,并 与 c 比较 是 否 相 等 以 检验 承诺 的 比特 5 的 有 效 性 。 

屏蔽 性 分 析 : 因为 xz 是 随机 选择 的 ,所 以 co 二 xz? mod nn 和 ci 二 tz? mod nn 都 是 Z ;中 
的 随机 数 ,V 在 不 知道 n 的 因子 分 解 的 情况 下 不 能 区 分 coc 哪 一 个 是 平方 剩余 。 

绑 定 性 分 析 : 假设 P 开 始 承 诺 5b==0, 在 打开 阶段 改 为 6 二 1, 则 P 需要 寻找 x ,使 得 
二 二 tz, 即 1 二 (zx/z')? ,与 + 是 平方 非 剩 余 的 假设 矛盾 ,所 以 P 不 能 改变 其 作出 的 承诺 。 

例 13.2 Petersen 比特 承诺 协议 。 

承诺 函数 的 单 向 性 基于 离散 对 数 问题 的 困难 性 。 

选 定 比 特 承诺 函数 : 

参与 协议 的 双方 在 可 信 第 三 方 的 帮助 下 选择 大 素数 p 和 Z; 的 生成 元 g ,从 群 Z; 中 
随机 选择 元 素 :€E2Z; 。X=Y=Z) ,f:{0,1} XX>Y 为 (b,x)>tg* mod p。 

承诺 阶段 : 

(1) 承诺 者 P 了 选择 所 需 的 承诺 比特 5, 并 产生 随机 数 7EZ;。 

(2) P 计算 c=F(b,z) 一 tigr mod 力 ,发 送 c< 给 V。 

打开 阶段 : 

(1)P 将 6 和 zz 发送 给 V。 

(2) V 验证 c 是 否 与 收 到 的 承诺 一 致 ,如 果 一 致 ,认为 承诺 有 效 ,否则 无 效 。 

屏蔽 性 分 析 : 这 是 因为 x 是 随机 选择 的 ,所 以 co 一 g*” mod p 和 ci 二 tg” mod p 都 是 
Z ;中 的 随机 数 ,V 不 能 区 分 co ,ci。 

绑 定 性 分 析 : 假设 P 开始 承诺 0 一 0, 在 打开 阶段 想 改 为 一 1, 则 已 需要 寻找 xz, 使 得 
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8 一 18” , 即 :一 gs “。 这 意味 着 P 需要 计算 随机 数 t 的 离散 对 数 ,而 这 对 P 来 说 是 计算 
困难 的 ,所 以 P 不 能 改变 其 作出 的 承诺 。 

思考 13.1 如 何 将 比特 承诺 扩展 为 消息 承诺 , 即 一 次 承诺 多 个 比特 ? 

使 用 x 或 者 h (Gm)( 当 m 过 大 时 ) 代 替 承 诺 函 数 中 的 5 即 可 。 对 其 分 析 留 作 练 习 。 

更 一 般 的 方法 是 使 用 伪 随 机 发 生 器 。Noar 提出 使 用 伪 随 机 发 生 器 构造 比特 承诺 方 
案 。 协 议 如 下 。 

选 定 比 特 承诺 函数 : 

参与 协议 的 双方 在 可 信 第 三 方 的 帮助 下 选择 伪 随 机 发 生 器 G, 青 选择 随机 串 R,R 的 
长 度 足 够 大 ,如 128bit。 

承诺 阶段 : 

(1) P 选择 所 需要 的 承诺 比特 5, 产 生 随机 数 ,作为 伪 随 机 发 生 器 所 需 的 种 子 。 

(2) P 计算 : 如 果 45=0, 则 c==G(s); 如 果 45=1, 则 c==G(s) 加 R。P 将 承诺 c 发送 
给 V。 
打开 阶段 : 
(1)P 了 将 s 和 6 发 送 给 V。 
(2) V 验证 c 的 计算 是 否 与 收 到 的 承诺 一 致 ,如 果 一 致 , 则 承诺 有 效 ,否则 无 效 。 
屏蔽 性 分 析 : 在 获取 4b 之 前 ,由 于 G 是 伪 随 机 发 生 器 ,V 无 法 区 分 G(s) 和 G(s)R。 
绑 定 性 分 析 : 假设 P 开 始 承 诺 b=0, 打 开 时 想 改 为 6 二 1, 需 要 寻找 s ,使 得 G(s ) 四 
R= 二 c 二 G(s) ,由 伪 随 机 发 生 器 的 性 质 知 ,这 是 困难 的 。 

思考 13.2 使 用 伪 随 机 发 生 器 构造 比特 承诺 协议 时 想 对 消息 m 承诺 ,如 何 实 现 ? 

改变 承诺 函数 为 c= 二 G(s) 四 (R，m)。 对 其 分 析 留 作 练 习 。 


fa13 基于 离散 对 数 问题 的 承诺 方案 


13.1.1 节 和 13.1.2 节 主要 给 出 比特 承诺 方案 ,本 节 讨 论 对 多 个 比特 的 承诺 。 下 面 
介绍 一 个 著名 的 基于 离散 对 数 问题 是 困难 的 这 一 假设 的 承诺 方案 。 
选 定 承诺 函数 : 
设 p 是 一 个 大 素数 ,go,h。 是 Z ;的 两 个 不 同 的 生成 元 。 承 诺 者 希望 承诺 的 秘密 
是 v。 
承诺 阶段 : 
(1) 承诺 者 均匀 地 选择 一 个 随机 数 rEZ; ,并 计算 承诺 
c= ghs modp 
(2) 承诺 者 将 c 发 送 给 接收 者 作为 对 数据 v 的 承诺 。 
打开 阶段 : 
承诺 者 将 v,r 发 送 给 接收 者 。 接 收 者 验证 下 述 等 式 是 否 成 立 : 
gihs cmodp 
车 成 立 , 则 接受 承诺 值 v, 否 则 拒绝 。 
屏蔽 性 分 析 : 需要 证 明 对 v 和 w' 的 两 种 承诺 是 不 可 区 分 的 , 即 g3h5 mod p 和 g3 hs 
mod p 不 可 区 分 。 假 设 v 二 v 十 5, 则 需要 证 明 g3h5 mod p 和 g3**hs mod p 不 可 区 分 。 根 
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据 生 成 元 的 性 质 , 有 gs EZj ,又 由 于 ho 是 生成 元 ,于 是 一 定 存 在 一 个 ;使 得 hi; mod p 二 
8 mod p ,于 是 需要 证 明 的 实际 上 是 gihs mod p 和 g3hs** mod p, 由 于 7 是 随机 数 , 故 两 
者 是 不 可 区 分 的 。 
绑 定性 分 析 : 需要 证 明 不 能 找到 v ,使 得 g3 hi mod 2 一 c mod p 二 gh mod p。 假 设 敌 
手 可 以 找到 v ,r 使 等 式 满足 ,于 是 敌手 可 以 采用 如 下 方式 计算 离散 对 数 log,, g。mod p: 
gi "=hy" modp 
go 三 hi /dn 
logu go = (r— r)/(v —v) 
这 显然 违背 了 离散 对 数 是 困难 的 这 一 假设 。 


1314 电话 投 币 协议 


电话 投 币 (telephone coin flipping) 协 议 是 比特 承诺 协议 的 一 种 应 用 。 

首先 看 一 个 问题 : 假设 Alice 住 在 北京 ,Bob 住 在 上 海 ,他 们 想 通 过 电话 投掷 硬币 来 
决定 谁 能 够 获得 一 辆 车 。Alice 打 电 话 给 Bob 说 通过 电话 来 投 硬币 决定 。Bob 选择 了 反 
面 ,Alice 说 :“ 对 不 起 ,是 正面 .” 于 是 Alice 得 到 了 那 辆 车 。Bob 怀疑 Alice 有 不 诚实 的 行 
为 ,但 是 不 知道 如 何 解决 。 

对 于 上 面 这 个 电话 投 币 问题 ,设想 用 一 个 抛 币 落 井 的 方法 来 解决 。 设 想 有 一 口 清 澈 
的 深水 井 ,Alice 站 在 水 井 的 旁边 ,Bob 远离 这 口 井 ,Alice 将 硬币 抛 进 水 井 里 ,硬币 落 在 水 
井 里 ,现在 Alice 能 看 到 水 井 里 的 结果 ,但 Alice 不 能 到 水 井 里 去 改变 硬币 的 状态 (如 正 反 
面 )。 当 Alice 将 硬币 抛 进 水 井 里 ,Bob 不 能 看 见 水 井 里 的 硬币 ,只 有 当 Bob 猜 完 硬币 的 
状态 后 ,Alice 才 让 Bob 走 近 ,看 到 井 底 的 硬币 。 这 样 ,Alice 不 能 欺骗 Bob。 原 因 是 Alice 
在 Bob 猜测 之 前 有 一 个 承诺 ,不 能 改变 。 于 是 ,很 自然 地 会 想到 利用 安全 散 列 函数 。 

1. 利用 安全 散 列 函数 抛 硬 币 

设 Alice 和 Bob 都 知道 某 一 个 安全 散 列 函数 H。(Alice 投 ,Bob 猜测 。) 

(1) Alice 选择 一 个 随机 数 ,计算 y=H()。 

(2) Alice 将 y 发送 给 Bob 。 

(3) Bob 猜测 ~ 是 偶数 还 是 奇数 ,并 将 猜测 结果 发 送 给 Alice。 

(4) Alice 公布 此 次 抛 币 的 结果 ,并 将 -发送 给 Bob。 

(5) Bob 检查 y==H(7)。 

该 协议 的 安全 性 取决 于 H 的 安全 性 。Bob 通过 > 判断 x 的 奇偶 性 必须 是 困难 的 ,和 否 
则 Bob 总 能 猜 对 。 同 时 ,Alice 在 抛 币 后 不 能 改变 , 即 Alice 无 法 找到 ~ 和 ,满足 r+ 和 
的 奇偶 性 不 同 , 但 有 互 ( 六 = 瑟 (~) ,否则 Alice 总 能 欺骗 Bob 。 

于 是 ,这 个 抛 币 协议 具有 如 下 性质 : Alice 必须 在 Bob 猜测 之 前 投 币 (承诺 ), 在 Bob 
猜测 之 后 Alice 不 能 再 投 币 ( 绑 定 ) 。Bob 无 法 知道 硬币 的 正 反 面 , 只 能 依靠 随机 猜测 。 

2. 采用 平方 根 投 硬币 (Bob 投 ,Alice 猜测 ) 

(1) Alice 选择 两 个 大 素数 p,q, 将 乘积 二 pq 发 送 给 Bob。 

(2) Bob 在 1 和 /2 之 间 随 机 选择 一 个 整数 ,计算 < 二 ww mod n, 并 将 <z 发 送 给 
Alice。 
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(3) A 计算 模 下 z 的 4 个 平方 根 士 x, 士 y(A 知道 的 分 解 ,所 以 可 以 计算 )。 设 x 
是 z modn, 一 + modn 中 的 较 小 者 ,y 是 y modn, 一 y modn 中 的 较 小 者 , 则 由 于 1 一 x 一 
n/2, 所 以 为 x',y 之 一 。 

(4) A 猜测 w=z' 或 二 y ,或 者 A 找 出 最 小 的 i 使 得 x 的 i 个 比特 与 y' 的 第 i 个 比 
特 不 同 ,A 猜测 x 的 第 i 个 比特 是 0 还 是 1。A 将 猜测 发 送 给 B。 

(5) B 告诉 A 猜测 正确 或 不 正确 ,并 将 x 发 送 给 A。 

(6) A 公开 的 因子 。 

因为 wu 是 B 随机 选取 的 ,A 不 知道 x, 所 以 要 猜测 只 能 是 计算 模 nw 下 x 的 4 个 平方 
根 , 猜 中 的 概率 为 1/2。 再 考虑 B 是 否 能 欺骗 A, 如 果 B 在 A 猜测 完 之 后 能 够 改变 的 
值 , 则 A 的 猜测 总 是 不 正确 ,但 是 B 必须 保持 >==w* mod n, 于 是 B 只 能 是 在 zx’,y 之 间 相 
互 改变 ,这 意味 着 B 掌握 了 x ,y ,于 是 可 以 通过 gcd(x 一 y 四) 或 者 gcd(x' 十 y ,nn) 求 出 
p 和 9g, 这 与 这 一 大 整数 分 解 问 题 是 困难 的 相 矛 盾 。 

3. 利用 二 次 剩余 投 币 

设 nn 是 两 个 大 素数 p 和 g 的 乘积 , 即 n==pg。 整 数 a 满足 0 二 a<n 和 gcd(a,z) 一 1， 
则 其 中 一 半 的 a 有 Jacobi 符号 (a/n) 二 1。 在 满足 (a/n) 二 1 的 所 有 a 中 ,只 有 一 半 是 模 n 
的 平方 剩余 ,而 判断 a 是 否 为 模 的 平方 剩余 与 分 解 n 是 等 价 的 。 

下 面 给 出 协议 (B 投 A 猜 )。 

(1) B 选择 p,g, 计 算 n==pgq, 再 选择 满足 (a/n) 二 1 的 随机 数 4, 将 nn 和 a 发 送 给 A。 

(2) A 猜测 a 是 模 n 的 平方 剩余 或 平方 非 剩 余 ,并 将 结果 告诉 B。 

(3) B 告 诉 A 猜测 正确 或 不 正确 ,并 将 p,g 发 送 给 A。 

(4) A 检查 p,q 都 是 素数 , 且 n= pg。 

显然 A 猜 中 的 概率 是 1/2。 协 议 执行 完 后 ,A 根据 p,g 可 求 出 a mod n 的 4 个 平方 
根 ( 如 果 a 是 模 的 平方 剩余 ) ,以 检查 B 是 否 在 A 猜测 完 后 对 结果 进行 了 修改 。 


13.2 零 知 识 证 明 协 议 


零 知识 证 明 (Zero Knowledge Proof, ZKP) 是 构造 安全 的 密码 学 协议 的 主要 工具 ， 
ZKP 是 由 S，Goldwasser、S，Micali 以 及 C. Rackoff 等 在 1985 年 首先 提出 的 ,在 密码 协 
议 的 设计 和 分 析 中 占有 重要 的 地 位 。 

零 知 识 证 明 是 一 种 密码 协议 ,和 比特 承诺 协议 类 似 ,该 协议 的 一 方 称 为 证 明 者 
(prover) ,通常 用 P 表示 ,协议 的 另 一 方 是 验证 者 (verifier) ,一 般 用 V 表示 。 零 知识 证 明 
是 指 P 试图 使 V 相信 某 个 论断 是 正确 的 ,但 不 向 V 提供 任何 有 用 的 信息 ,或 者 说 在 P 论 
证 的 过 程 中 ,V 得 不 到 任何 有 用 的 信息 。 也 就 是 说 , 零 知 识 证 明 除了 证 明了 了 的 论断 的 
正确 性 外 ,不 泄露 任何 其 他 信息 或 者 知识 。 因 此 ,可 以 放心 地 使 用 该 协议 。 例 如 ,口令 身 
份 验证 协议 中 存在 的 一 个 问题 就 是 .证明 者 向 验证 者 证 明 自己 知道 口令 的 同时 把 口令 汇 
露 给 了 验证 者 。 这 样 验证 者 就 可 以 在 其 他 场合 冒充 证 明 者 ,使 证 明 者 处 于 不 利 地 位 。 

零 知 识 证 明 起 源 于 最 小 泄露 证 明 。 在 交互 证 明 系 统 中 ,P 知道 某 个 秘密 ,向 V 证 明 
自己 掌握 这 个 秘密 ,但 又 不 向 V 泄露 这 一 秘密 ,这 就 是 最 小 泄露 证 明 。 如 果 V 除了 知道 


Ne/ 数字 签名 与 安全 协议 


P 掌握 秘密 外 ,不 能 得 到 任何 其 他 信息 . 则 是 零 知 识 证 明 。 

思考 13.3 零 知 识 证 明 是 否 和 完善 保密 具有 某 种 类 比 关系 ? 

完善 保密 是 针对 加 密 方 案 的 安全 性 ,从 密 文 无 法 推 知 明文 的 任何 信息 。 零 知识 证 明 
是 针对 协议 方案 的 安全 性 ,验证 者 无 法 推 知 除 需要 证 明 的 信息 外 的 任何 信息 。 可 见 , 两 者 
之 间 具 有 某 种 “类 似 性 ”。 

零 知 识 证 明 可 根据 交互 性 分 为 交互 零 知 识 证 明和 非 交互 零 知 识 证 明 。 零 知识 交互 证 
明 系统 (Zero Knowledge Interactive Proof,ZKIP) 的 模型 如 下 : 假设 P 和 V 是 两 台 图 灵 
机 ,P 采用 交互 式 证 明 向 V 证 明 一 个 断言 S, 而 最 终 V 除了 相信 S 外 ,得 不 到 任何 额外 
信息 。 

按照 该 模型 ,ZKIP 必须 满足 以 下 3 个 特性 : 

(1) 完备 性 (completeness) : 如 果 了 证 明 S 为 真 , 则 V 拒绝 接受 S 的 概率 非常 小 。 

(2) 合理 性 (soundness) : 如 果 P 有 欺骗 行为 , 则 V 接受 S 的 概率 非常 小 。 

(3) 零 知 识 性 (zero-knowledge): V 除了 相信 S 外 ,不 能 获得 额外 信息 。 

为 了 更 好 地 理解 这 3 个 特性 , 先 看 下 面 几 个 例子 。 
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J.J. Quisquater 与 TT. Berson 等 人 在 1989 年 的 Crypto'89 会 议 上 给 出 了 一 个 典型 
的 例子 , 即 用 洞穴 的 故事 来 说 明 零 知识 证 明 协议 。 

O. Goldreich 等 在 1986 年 给 出 了 一 个 证 明 图 同 构 的 例子 。 

M. Blum 在 1986 年 给 出 了 一 个 证 明 Hamilton 回路 问题 的 例子 。 

例 13.3 阿里 巴巴 的 洞穴 故事 。 

如 图 13. 1 所 示 , 洞 穴 中 有 一 个 秘密 通道 门 位 于 C.D 之 间 , 只 有 知道 秘密 咯 语 的 人 
(阿里 巴巴 ) 才 可 以 打开 这 扇 门 。 假 设 P 知道 这 个 咒语 ,他 要 向 V 证 明 自 己 知道 这 个 名 
语 ,但 又 不 向 V 泄露 这 个 吕 语 ,那么 P 与 V 可 以 通过 下 面 的 游戏 来 达到 目的 。 
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图 13.1 洞穴 中 秘密 咒语 的 零 知 识 证 明 
(1) V 站 在 A 位 置 。 


(2) P 从 位 置 A 出 发 经 过 B 走 进 洞穴 ,到 达 C 或 D 位 置 。 
(3) 当 P 消失 在 洞穴 后 ,V 走 到 BB 位置 。 
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(4) V 随机 命令 已 从 左 通道 或 从 右 通 道 返回 也 位 置 。 

(5) P 按照 V 的 命令 从 左 通道 或 右 通 道 返 回 也 位 置 ,在 必要 时 P 使 用 咒语 打开 C 与 
D 位 置 之 门 。 

(6) P 与 V 重复 这 个 游戏 若干 次 。 

完备 性 分 析 : 在 上 述 游戏 中 ,如 果 了 知道 咒语 , 则 总 能 成 功 。 

合理 性 分 析 : 如 果 了 不 知道 咒语 ,那么 P 每 次 只 能 按照 原 路 线 从 C 或 了 返回 到 B 位 
置 。 这 样 ,P 每 次 成 功 按 V 的 要 求 从 洞穴 深 处 返回 到 B 的 概率 是 1/2, 所 以 P 能 nn 次 都 成 
功 按 V 的 要 求 返 回 到 B 位 置 的 概率 为 1/2"。 当 n 较 大 时 ,n 次 都 成 功 的 概率 就 非常 小 。 
因此 ,游戏 重复 多 次 后 , 若 P 均 能 成 功 , 则 V 完全 可 相信 PP 知道 打开 C 与 D 之 间 那 扇 门 
的 秘密 咒语 。 

零 知 识 性 分 析 : 上 述 游戏 证 明 P 对 秘密 咒语 的 拥有 , 且 没 有 透露 任何 关于 秘密 咒语 
的 信息 ( 即 零 知 识 性 ) 。 

下 面 看 一 个 证 明 图 同 构 的 例子 。 

例 13.4 证 明 图 同 构 。 

设 G 一 {{alaz as) 已 } 与 Gz 一 {{(alaz， an)} ,下 } 是 具有 相同 顶点 集合 {ai ， 
Qaz，"… ,aw) 但 边 集合 已 和 EE, 不 同 的 两 个 图 。 一 般 来 说 ,对 于 输入 规模 n 充分 大 的 两 个 
图 ,要 证 明 它们 是 否 同 构 是 一 个 NP 完全 问题 (CC ,Gs 同 构 是 指 从 Ci 的 顶点 到 G; 的 顶点 
集合 之 间 存 在 一 个 双 射 x, 当 且 仅 当 z,y 是 G, 上 的 相 邻 点 时 ,x(z) 和 x(y) 是 G, 上 的 相 


邻 点 )。 
假设 P 知道 G, 和 Gs 是 同 构 的 , 当 V 不 知道 G, 和 Gs 是 同 构 的 。 现 在 P 要 向 V 证 
明 G 和 G, 是 同 构 的 ,但 又 不 想 告诉 V 如 何 证 p V 
明 同 构 关系 ( 即 给 出 图 G, 和 Gs 的 点 集 对 应 关 人 有 
系 ), 那 么 P 与 V 进行 如 下 步骤 来 达到 目的 | GVG 六 
(图 13. 2) : 
(1) P 随机 选取 {ai ,as ,…:as} 上 的 一 个 置 人 
换 6, 在 8 作用 下 ,图 Gi 变换 成 万 , 即 万 =G。 
P 将 互 告诉 V。 4 
(2) V 随机 地 要 求 P 证 明 : G, 与 互 同 构 ， 图 13.2 图 同 构 的 零 知识 证 明 


或 者 Cs 与 日 同 构 。 

(3) P 为 完成 V 的 要 求 , 先 找 定 {a ,as，,… .a,}) 的 一 个 置换 r, 将 该 置换 告诉 V。 置 换 
rz 是 这 样 找 的 : 当 V 要 求 P 证 明 Gi 与 互 同 构 时 ,P 令 r=6; 当 V 要 求 P 证 明 G;, 与 肪 同 
构 时 ,P 令 t=68( 其 中 $$ 是 P 事 先 已 知 的 Gi 与 Gs 之 间 的 同 构 映射 ) 。 

(4) V 验证 在 置换 + 作用 下 图 Gi 或 Gs 是 否 能 置换 成 互 。 

(5) P 与 V 重 复 执 行 (1) 一 (4) 若 干 次 。 

完备 性 分 析 : 如 果 P 知道 同 构 映射 %, 则 总 能 回答 成 功 。 

合理 性 分 析 : 如 果 了 不 知道 同 构 映射 %, 则 只 能 以 1/2 的 概率 回答 成 功 ( 即 刚好 V 要 
求 给 出 Gi 到 互 的 映射 时 P 给 出 r=6)。 若 nn 次 都 能 回答 成 功 , 则 P 在 不 知道 同 构 映射 $ 
下 成 功 欺骗 的 概率 为 1/2"。 当 很 大 时 .该 概率 非常 小 。 
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零 知 识 性 分 析 : 证 明 过 程 中 V 没有 获得 关于 G! 和 G; 之 间 同 构 映 射 $ 的 信息 。 其 
实 , 这 里 可 以 把 r=68 理解 为 对 $ 用 6 进行 “一 次 一 密 ” 的 加 密 。 

例 13.5 证 明 Hamilton 路 径 问 题 (Hamilton Path Problem,HPP)。 

在 图 论 中 ,能 够 遍历 图 G 的 每 个 顶点 的 路 径 称 为 Hamilton 路 径 , 如 果 一 个 图 包含 一 
条 Hamilton 路 径 , 则 称 为 Hamilton 图 。 迄 今 为 止 尚 未 找到 判断 Hamilton 图 的 充 要 条 
件 ,构造 图 G 的 Hamilton 路 径 是 一 个 NP 完全 问题 。 假 设 证 明 者 P 掌握 的 信息 是 图 G 
的 Hamilton 路 径 , 并 希望 向 验证 者 V 证 明 这 一 事实 ,协议 执行 如 下 : 

(1) P 随机 地 构造 一 个 与 图 G 同 构 的 图 G' 并 发 送 给 V。 

(2) V 随机 地 要 求 P 做 下 述 两 个 任务 之 一 : 证 明 图 G 和 图 G' 同 构 , 或 者 指出 G' 的 一 
条 Hamilton 路 径 。 

(3) P 按 照 V 的 要 求 做 下 述 两 个 工作 之 一 : 一 是 证 明 图 G 和 图 G' 同 构 , 但 不 指出 图 
G 和 图 G 的 Hamilton 路 径 ; 二 是 可 以 指出 图 G 的 Hamilton 路 径 , 但 不 证 明 图 G 和 图 G” 
同 构 。 

(4) 重复 执行 上 述 (1) 一 (3) 若 干 次 。 

容易 知道 满足 完备 性 。 

合理 性 分 析 : 如 果 P 不 知道 图 G 的 Hamilton 路 径 , 则 只 有 1/2 的 概率 完成 任务 ,7 
次 重复 后 成 功 的 概率 为 1/2"。 当 很 大 时 ,该 概率 非常 小 。 

零 知识 性 分 析 : 在 第 (3) 步 中 ,即使 P 向 V 指出 图 G 的 一 条 Hamilton 路 径 ,V 也 没 
有 得 到 任何 关于 图 G 的 Hamilton 路 径 的 信息 ,因为 求 两 个 图 的 同 构 并 不 比 求 一 个 图 的 
Hamilton 路 径 简单 。 
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零 知 识 证 明 可 以 用 于 构造 身份 证 明 协 议 , 即 某 个 声称 者 证 明 其 身份 的 过 程 就 是 他 证 
明 其 拥有 某 个 秘密 知识 的 过 程 。 其 中 协议 完备 性 、 合 理性 、 零 知识 性 的 论证 留 作 练 习 。 

1. 基于 大 整数 分 解 的 零 知识 证 明 

设 p 和 g 是 两 个 大 素数 ,n= pq, 假设 P 知 道 的 因子 。 如 果 P 想 让 V 相信 他 知道 ?7 
的 因子 , 且 了 不 想 让 V 知道 的 因子 , 则 P 和 V 可 以 执行 下 面 的 协议 : 

(1) V 随机 选择 一 个 大 整数 rz, 计算 > 一 z: mod n, 将 结果 y 告诉 P。 

(2) P 计算 <=Vy mod n,P 将 结果 < 告诉 V。 

(3) V 验证 > 一 zz mod n 是 否 成 立 。 

(4) 重复 (1) 一 (3) 1 次 。 

合理 性 在 于 计算 Vy mod nn 等 价 于 对 进行 因子 分 解 。 

2. 基于 离散 对 数 的 零 知识 证 明 

P 想 向 V 证 明 他 知道 满足 方程 a 二 Bp mod p 的 zx。 其 中 jp 是 一 个 大 素数 ,zx 是 与 p 
互 素 的 随机 数 。a,B,p 是 公开 的 ,x 是 保密 的 。P 在 不 泄露 xz 的 信息 的 情况 下 ,向 V 证 明 
他 知道 zx 的 过 程 如 下 : 

(1) P 选择 随机 数 r(0 二 r 二 p 一 1) ,计算 /一 or mod p, 将 hh 发 送 给 V。 
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(2) V 随机 选择 一 个 整数 0 一 0 或 2 一 1 发 送 给 P。 

(3) P 计算 *= 王 Cr 十 pz) mod (p 一 1) ,并 发 送 给 V。 

(4) V 验证 一 pp" mod p。 

(5) 重复 (1) 一 (4) 上 次 。 

其 实 , 细 心 的 读者 会 发 现 ,这 一 过 程 和 ElGamal 签名 有 神似 之 处 。 


13.3 不 经 意 传输 


先 思 考 两 个 问题 : 

(1) 设 A 有 一 个 秘密 , 想 以 1/2 的 概率 传递 给 B, 即 B 有 50% 的 机 会 收 到 这 个 秘密 ， 
另外 50% 的 机 会 什么 也 没有 收 到 ,协议 执行 完 后 ,B 知道 自己 是 否 收 到 了 这 个 秘密 ,但 A 
却 不 知道 B 是 否 收 到 了 这 个 秘密 。 

(2) A 是 机 密 的 出 售 者 ,A 列举 了 很 多 问题 , 想 出 售 这 些 问题 的 答案 ,B 想 购买 其 中 
的 一 个 或 几 个 问题 的 答案 ,但 不 想 让 A 知道 自己 买 的 是 哪些 问题 的 答案 。 

这 两 个 问题 在 网 上 交易 中 会 体现 为 类 似 的 安全 需求 ,如 用 户 B 从 用 户 A 接收 消息 ， 
但 出 于 隐私 保护 的 考虑 ,用 户 B 不 想 让 用 户 A 知道 他 到 底 接收 的 是 哪 条 消息 。 例 如 网 上 
订购 ,消费 者 可 能 不 愿意 暴露 所 购买 的 商品 ;在 线 付费 浏览 ,用 户 可 能 不 希望 暴露 浏览 的 
敏感 信息 。 
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上 述 问 题 可 以 利用 不 经 意 传 输 (Oblivious Transfer,OT) 解 决 。Rabin 于 1981 年 提 
出 OT 的 概念 。OT 是 一 种 可 保护 隐私 的 两 方 通信 协议 ,使 通信 双方 以 选择 模糊 化 的 方 
式 传输 信息 。 该 协议 使 得 服务 接收 方 以 不 经 意 的 方案 得 到 服务 发 送 方 输入 的 某 些 信息 ， 
这 样 可 以 保护 接收 方 的 隐私 不 被 发 送 方 知道 。 

不 经 意 传 输 协议 有 着 丰富 的 实际 应 用 ,如 隐私 保护 的 信息 检索 、 不 经 意 抽 样 、 公 平 的 
电子 合同 的 签订 ,内容 保护 等 。 它 也 可 作为 基本 组 件 构造 其 他 安全 协议 ,如 比特 承诺 、 零 
知识 证 明 、 安 全 多 方 计算 以 及 电子 支付 协议 等 。 它 是 零 知 识 证 明 协 议 在 实际 中 的 一 个 十 
分 重要 的 应 用 形式 。 它 也 是 一 种 特殊 类 型 的 比特 承诺 协议 ,发 送 方 对 一 系列 值 给 出 承诺 ， 
接收 方 在 收 到 发 送 方 给 出 的 承诺 后 选中 其 中 之 一 作为 确认 , 当 发 送 方 并 不 知道 接收 方 选 
中 的 承诺 对 应 的 是 哪 一 个 值 。 

不 经 意 传输 协议 也 可 译 为 “健忘 ”传输 协议 , 它 是 从 一 个 消息 集合 秘密 获取 部 分 信息 
的 一 种 重要 方法 。 所 谓 “ 健 忘 ” 传 输 是 指 发 送 方 以 50% 的 概率 传送 一 个 秘密 给 接收 方 , 接 
收 方 有 50% 的 机 会 收 到 这 个 秘密 ,有 50% 的 机 会 什么 也 没有 收 到 。 协 议 执行 完毕 后 , 接 
收 方 知道 他 是 否 收 到 这 个 秘密 ,但 发 送 方 却 不 知道 。 

一 般 地 说 ,不 经 意 传输 协议 是 一 个 由 发 送 方 A 和 接收 方 B 参与 的 两 方 通信 协议 ,其 
基本 思路 是 : 发 送 方 A 发 出 条 消息 mm ;ms，…,m, ,执行 协议 后 接收 方 B 将 得 到 其 中 的 
一 条 或 几 条 消息 。 发 送 方 A 不 能 控制 接收 方 B 的 选择 ,也 不 知道 接收 方 B 收 到 的 是 哪些 
具体 消息 ;而 接收 方 B 不 能 得 到 其 选择 之 外 的 消息 。 
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不 经 意 传输 协议 在 设计 时 需要 考虑 到 以 下 因素 : 

(1) 协议 的 参与 者 。 协 议 的 参与 者 是 发 送 方 A 与 接收 方 B。 如 果 一 个 参与 方 按 步骤 
执行 协议 ,但 试图 从 接收 到 的 消息 计算 出 额外 的 信息 , 则 称 为 半 可 信 的 ;如 果 一 个 参与 方 
任意 背离 协议 以 获得 额外 信息 , 则 称 其 为 恶意 的 。 

(2) 正确 性 。 若 发 送 方 A 与 接收 方 B 正确 执行 协议 , 则 B 可 得 到 其 所 选择 的 消息 。 

(3) 不 经 意 性 (接收 者 的 隐私 性 ) 。 接 收 方 B 的 不 同 选 择 所 对 应 的 传送 副本 对 于 发 送 
方 A 是 不 可 区 分 的 ,A 无 法 得 知 B 究竟 选择 了 哪些 消息 。 

(4) 安全 性 (发 送 者 的 隐私 性 )。 接 收 方 B 不 能 得 到 他 没有 选择 的 消息 。 

在 Rabin 提出 OT 概念 之 后 ,不经意 传输 又 出 现 了 多 种 形式 : 

(1) 二 选 一 (1-out-of-2)OT。A 有 两 个 消息 ma ,wm ,协议 执行 完 后 B 得 到 其 中 一 个 
消息 (A 的 隐私 性 ) ,A 不 知道 B 选择 的 是 哪 一 个 消息 (B 的 隐私 性 ),B 可 以 确信 自己 得 到 
了 想 要 的 消息 (正确 性 )。 

(2) 多 选 一 (1-out-of-n)OT。A 有 nn 个 消息 zi ,mz，,… ,ma, 协 议 执 行 完 后 B 得 到 其 
中 的 一 个 消息 (A 的 隐私 性 ) ,A 不 知道 B 选择 的 是 哪 一 个 消息 (B 的 隐私 性 ),B 可 以 确信 
自己 得 到 了 想 要 的 消息 (正确 性 )。 

(3) nn 选 k(k-out-of-n)OT。A 及 nn 个 消息 mi ,ms，… ,1m ,协议 执行 完 后 B 得 到 其 中 
的 (k=n) 个 消息 (A 的 隐私 性 ) ,A 不 知道 B 选择 的 是 哪 一 个 消息 (B 的 隐私 性 ),B 可 以 
确信 自己 得 到 了 想 要 的 消息 (正确 性 )。 

另外 ,从 执行 过 程 可 将 OT 划分 为 交互 式 OT 和 非 交 互 式 OT。 从 实现 方法 上 ,有 经 
典 方法 (基于 计算 复杂 性 的 OT, 基 于 信息 论 的 OT) 和 基于 量子 理论 的 OT。 
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1. 基于 大 整数 分 解 的 二 选 一 OT 

假设 A 想 通过 不 经 意 传输 协议 传输 给 B 的 秘密 是 整数 n(n 为 两 个 大 Blum 素数 之 
积 ) 的 因子 分 解 。 这 个 问题 具有 普遍 意义 ,因为 任意 秘密 都 可 以 通过 RSA 加 密 算法 传送 
给 相应 的 解密 者 ,得 到 的 因子 分 解 就 可 成 为 解密 者 ,从 而 得 到 秘密 。 

协议 描述 如 下 : 

(1) A 选择 形式 为 4 十 3 的 两 个 大 素数 (Blum 素数 ) ,发 送 这 对 素数 p,g 的 乘积 王 
pg 给 B, 但 将 p,q 保留 为 自己 的 秘密 。 

(2) B 随机 选取 一 个 整数 (0 二 zx 二) , 且 gcd(z,n) 二 1, 即 zz 是 比 n 小 且 与 n 互 素 的 
正 整数 ,然后 发 送 a 二 x? mod n 给 A。 

(3) A 根据 已 知 的 p,qg 求 出 zx?==a mod p 和 zx? 二 a mod dg 对 应 的 两 个 根 ,然后 A 随 
机 选取 其 中 的 一 个 根 发 送 给 B。 

当 nn 为 Blum 整数 时 , 求 x?= 二 a mod p 是 容易 的 , 即 z== 土 a 他 mod 旋 , 同 理 可 得 z 二 
a mod g 的 根 。 求 出 根 后 ,可 根据 中 国 剩余 定理 求 出 xz? 二 a mod n 的 4 个 根 : x,n 一 zz 
yn yo。 

如 果 B 收 到 的 是 > 或 者 n 一 y. 则 B 通 过 已 知 的 xz 和 接收 的 > 就 可 以 确定 出 户 ,q:gcd 
(Zz 十 ysn) 二 pp 或 gcd(z 十 ysn) 二 q。 如 果 B 收 到 的 是 xz 或 n 一 z+, 则 得 不 到 任何 有 用 信息 。 
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显然 ,B 得 到 因子 分 解 的 概率 为 1/2。 

2. 基于 离散 对 数 问题 的 二 选 一 OT 

与 前 面 的 协议 不 同 ,下 面 这 个 协议 是 非 交 互 的 , 即 B 不 向 A 发 送 任何 消息 。 设 用 户 
都 知道 一 个 大 素数 p,Z; 的 生成 元 g 和 另 一 个 大 素数 c ,但 无 人 知道 c 的 离散 对 数 。 

B 按 如 下 方式 产生 公 钥 和 私 钥 : 随机 选取 一 个 比特 i 和 一 个 数 z (0 过 x 三 p 一 2) ,计算 
yi 二 g* Yi 二 C(g*) 1,(yo ,yi) 为 公 钥 , 以 (i,x) 为 私 钥 。 由 于 B 不 知道 c 的 离散 对 数 ,所 
以 只 知道 yo 或 wm 的 离散 对 数 。A 不 知道 yo ,yi 中 哪个 数 的 离散 对 数 ( 即 zx) 是 B 已 知 
的 。A 可 通过 yoy1 王 c 验证 B 的 公 钥 是 否 正确 。 

设 A 的 两 个 秘密 是 so ,si ,是 二 进 制 数 。 甸 为 异 或 运算 ,车 操作 的 两 数 不 等 长 ,必要 时 
可 以 在 较 短 的 数 前 补 0。 

协议 描述 如 下 : 

A 在 0 到 p 一 2 之 间 随 机 取 两 个 整数 k,ki, 对 j 二 0,1 计算 

GG=g8, d=y%%, m= sd; 

将 co ,ci ,mo ,mi 发 送 给 B。 

B 用 自己 的 私 钥 计 算 cf ==g*i= 二 y= 二 di;,s; 二 m; 电 d;。 由 于 B 不 知道 wm-,; 的 离散 对 
数 , 所 以 无 法 得 到 di1-;，,s1-;。 

这 一 协议 的 基本 思想 是 : B 拥有 两 个 “ 公 钥 ”(y。 ,yi), 一 个 是 可 以 用 私 钥 zx 解密 的 ， 
另 一 个 是 无 法 用 私 钥 解 密 的 。A 用 两 个 “ 公 钥 ”进行 加 密 , 然 后 发 送 给 B,B 则 只 能 解密 其 
中 之 一 。 由 于 A 不 知道 B 能 解密 哪 一 个 ,所 以 不 经 意 性 满足 。 接 收 方 B 只 能 得 到 二 者 之 
一 ,安全 性 (发 送 者 的 隐私 性 ) 满 足 。B 不 能 通过 制造 两 个 都 有 效 的 公 钥 来 欺骗 ,因为 A 
可 以 验证 yy 一 c。 

一 般 地 ,可 以 得 到 Even 二 选 一 OT 协议 ?, 这 是 Even 等 在 1985 年 提出 的 。 

协议 描述 如 下 : 

(1) 发 送 方 A 选择 公 钥 系统 (E,,D,), 并 选择 两 个 随机 数 co ,cl Eu ,us 是 上 述 公 钥 
系统 的 消息 空间 。A 把 公 钥 E, 和 随机 数 co ,ci 传送 给 B。 

(2) B 选择 随机 数 rE {0,1} 以 及 会 话 密 钥 Eu,。B 用 A 的 公 钥 加 密会 话 密 钥 &, 同 
时 用 A 给 的 两 个 随机 数 之 一 来 加 密 密 文 , 即 9 一 尼 -(&)Gc, ,最 后 将 g 发 送 给 A。 

(3) A 用 私 钥 D, 解密 gqg。 对 于 i 二 0,1, 人 A 分别 计 算 久 二 D, (gci) ,得 到 两 个 结果 ,一 
个 是 真正 的 会 话 密 钥 &, 而 另 一 个 是 无 意义 的 随机 数 ,但 A 无 法 区 分 。 

(4) A 分 别 使 用 在 上 一 步 中 产生 的 两 个 密 钥 (一 个 真 的 会 话 密 钥 ,一 个 假 的 会 话 密 
钥 ) 加 密 他 的 两 份 消息 mo ,za ,并 把 两 份 消息 都 发 送 给 B。 

(5) B 收 到 一 份 用 正确 的 会 话 密 钥 加 密 的 消息 及 一 份 用 假 的 会 话 密 钥 加 密 的 消息 。 
当 B 用 会 话 密 钥 解密 每 一 份 消息 时 ,能 得 到 其 中 之 一 , 另 一 份 则 是 无 意义 的 。 

该 协议 的 设计 思想 是 : 避免 设计 两 个 “ 公 钥 ”的 烦琐 ,而 是 采用 两 个 “会 话 密 钥 "(一 个 
有 效 ,一 个 无 意义 ) 来 加 密 传递 的 消息 ,达到 二 选 一 OT 的 目的 。 但 这 个 方案 需要 交互 。 


® S.Even, O. Goldreich, A. Lempel. A Randomized Protocol for Signing Contracts. Communications of the 
ACM,1985,28(6): 637-647. 
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3. 基于 单 向 函数 的 多 选 一 OT 

设 A 有 多 个 秘密 , 想 将 其 中 之 一 传递 给 B, 使 得 只 有 B 知道 A 传递 的 是 哪个 秘密 。 
设 A 的 秘密 是 s,s,,… ,si ,每 一 个 秘密 是 一 比特 序列 。 

协议 描述 如 下 : 

(1) A 告诉 B 一 个 单 向 函数 了 ,但 对 广 :保密 。 

(2) 设 BB 想得到 秘密 s;, 在 了 的 定义 域内 随机 选取 kk 个 值 z ,xs，…,zi, 将 上 元 组 
(yi19y2，"* Yi) 发 送 给 A, 其 中 

Ti jxi 
a j= 

(3) A 计算 z= 二 :yj)) Gj 二 1,2,…,k), 将 zs; (j= 二 1,2,…,k) 发 送 给 B。 

(4) 由 于 z= 二 fy) 二 (f(zxi))==xi, 所 以 B 知 道 二 ,因此 可 以 从 = 人 s; 获得 si。 

由 于 B 没 有 x;(j 关 让 的 信息 ,因此 无 法 得 到 s;(j 关 让 , 而 A 不 知道 元 组 (yi ,ys，…， 
4) 中 哪个 是 f(zxi;) ,因此 无 法 确定 B 得 到 的 是 哪个 秘密 。 

但 是 ,如 果 B 不 遵守 协议 ,用 了 对 多 个 x; 求 得 f(z;), 就 可 获得 多 个 秘密 。 

4. 基于 离散 对 数 的 多 选 一 OT 

2004 年 Tzeng 等 提出 一 个 基于 DDH 假设 ( 见 14.1.2 节 ) 的 多 选 一 OT 协议 。 

G 是 一 个 g 阶 循环 群 ,g,h 是 G 的 两 个 生成 元 ,logsh 保密 。 发 送 者 A 的 输入 为 mi， 
mz， ,Ww 人 EG, 接 收 者 B 的 选择 为 a,1 三 a 考 n。 

协议 描述 如 下 : 

(1) B 发 送 y=g'h*,r€E2,。 

(2) A 发 送 c=(g% ,mi(y/h DS) ,kiEZL, ,1<i<n, 

(3) B 由 c=(s,2) ,计算 mm 一 上 /rr 。 

其 设计 思想 是 : B 对 选择 的 序号 a 进行 了 承诺 , 且 序 号 a 具有 隐蔽 性 。A 将 消息 用 
包含 承诺 a 的 密 钥 进行 加 密 , 只 有 序号 a 对 应 的 密 文 才能 解密 出 消息 。 

最 后 ,讨论 二 选 一 OT、 多 选 一 OT 入选 k OT 间 的 关系 。 多 选 一 OT 可 以 通过 调 
用 二 选 一 OT 来 设计 ,n 选 & OT 可 以 通过 调用 二 选 一 OT 多 选 一 OT 来 实现 。 一 个 直观 
地 实现 n 选 k OT 的 方法 是 将 多 选 一 OT 运行 次 ,但 这 需要 k 倍 于 多 选 一 OT 的 通信 和 
计算 代价 。 因 此 ,协议 设计 的 目标 不 仅 是 完成 功能 ,而 且 是 设计 通信 和 负担 小 、 计 算 代价 低 
的 协议 。 


13.4 秘密 共享 


1341 秘密 共享 概念 的 提出 


首先 思考 两 个 场景 : 四 某 个 银行 有 3 位 出 纳 , 他 们 每 天 都 要 开启 保险 库 。 为 防止 每 
位 出 纳 可 能 出 现 的 监 守 自 盗 行 为 .银行 规定 至 少 有 两 位 出 纳 在 场 才能 开启 保险 库 。@ 核 
按钮 通常 掌握 在 三 方 手 上 : 总 统 、 国 防 部 长 .国防 部 ,只 有 当 三 方 中 的 两 方 在 场 时 , 才 可 以 
最 终 控制 核 按钮 。 
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上 述 两 个 问题 可 以 利用 秘密 共享 方案 (secret sharing scheme) 来 实现 。 所 谓 秘密 分 
享 就 是 将 一 个 密 钥 分 成 许多 份额 (share, 又 叫 影子 ,shadow) ,然后 秘密 地 分 配给 一 些 有 关 
人 员 ,使 得 某 些 有 关 人 员 在 同时 拿 出 他 们 的 份额 后 可 以 重建 密 钥 ,而 另外 一 些 有 关 人 员 在 
同时 拿 出 他 们 的 份额 后 不 能 重建 密 钥 。 

严格 地 说 : 秘密 共享 技术 的 基本 要 求 是 将 秘密 分 成 n 个 份额 s1 ,ss，…，,s, ,使 得 以 
下 条 件 满足 : 

(1) 已 知 任意 1 个 s;, 易 于 求 出 。 

(2) 已 知 任意 1 一 1 个 s; 或 更 少 的 % ,不 能 确定 &。 

因此 ,这 种 秘密 共享 也 称 为 (1,n) 门 限 (threshold) 方 案 (1 志 nn)。 

秘密 共享 的 概念 是 Adi Shamir 和 G. Blakley 于 1979 年 分 别 独自 给 出 的 ,Shamir 提 
出 的 方案 是 根据 Lagrange 插值 公式 构造 了 (1,n) 门 限 方案 , 即 为 了 重 构 1 一 1 次 多 项 式 ， 
该 多 项 式 有 :个 未 知 的 多 项 式 系数 ,需要 知道 1 个 点 ,才能 重 构 多 项 式 曲线 。 如 果 只 知道 
1 一 1 个 点 , 则 完全 无 法 确定 多 项 式 系数 。Blakley 的 方案 是 利用 线性 几何 投影 法 进行 构 
造 , 其 方法 也 很 容易 理解 : 一 个 三 维 空间 的 点 可 由 3 个 二 维 平面 的 交点 决定 。 一 般 地 ,车 
将 共享 的 秘密 映射 到 1 维 空 间 中 的 一 个 点 , 且 构 造 的 每 一 个 份额 都 是 包含 这 个 点 的 1 一 1 
维 超 平面 的 方程 ,那么 上 个 或 上 个 以 上 的 这 种 超 平面 的 交点 刚好 确定 这 个 点 。 两 种 方案 
的 示意 图 见 图 13. 3( 右 图 来 自 维基 百科 )。 
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(a) Adi Shamir 秘 密 共 享 示意 图 (b) G.Blakley 秘 密 共享 示意 图 


图 13.3 秘密 共享 概念 示意 


秘密 共享 技术 提供 了 密 钥 抗 汇 露 的 可 靠 性 ,可 以 与 其 他 密码 学 技术 融合 在 一 起 ,提供 
密码 学 技术 的 健壮 性 (提高 抗 共 谋 、 容 错 、 容 入 侵 等 能 力 )。 秘 密 共享 构成 了 门限 密码 学 
(threshold cryptography) 的 基础 。 门 限 密码 学 是 指 将 基本 的 密码 体制 分 布 于 若干 参与 者 
中 的 技术 。 例 如 ,普通 签名 的 门限 版 本 , 即 门限 签名 (threshold signature) ,使 用 某 种 秘密 
分 享 方 法 将 签名 私 钥 在 一 些 参 与 者 中 分 享 , 使 得 参与 者 的 适当 子 集 可 以 联合 发 布 签名 ,而 
不 合格 的 子 集 则 无 法 产生 有 效 签名 。 同 样 的 还 有 门限 加 密 等 。 


1342 Shanir 门限 方案 


首先 给 出 门限 方案 的 严格 定义 。 
定义 13.1 设 t 和 为 正 整 数 ,: 过 n。 一 个 (1,n) 门 限 方案 是 一 种 在 个 参与 者 中 分 
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享 一 个 密 钥 & 的 方法 ,使 得 任意 上 个 参与 者 在 给 出 他 们 的 秘密 份额 后 可 以 恢复 密 钥 ,而 
任意 1 一 1 个 参与 者 在 给 出 他 们 的 秘密 份额 后 不 能 恢复 秘密 ( 密 钥 )k。 

设 (1,n) 门 限 方案 中 的 个 参与 者 为 P,P,,…,P,。 密 钥 k 由 一 个 秘密 分 发 者 D 选 
取 ,D${Pi,P,,…,P,}。D 想 让 P,P,,…,P, 分 享 密 钥 &。D 秘密 地 分 配给 每 人 一 个 
关于 密 钥 & 的 份额 。 所 谓 份额 就 是 密 钥 & 的 部 分 信息 。 当 Pi ,P;,…,P, 中 的 任意 t 个 人 
给 出 他 们 的 份额 后 可 以 重建 密 钥 & ,而 任意 :一 1 个 参与 者 在 给 出 他 们 的 份额 后 不 能 重建 
密 钥 人。 

一 般 的 秘密 共享 体制 包括 两 个 协议 : 

(1) 秘密 分 发 协议 。 在 这 个 协议 中 ,秘密 分 发 者 DD 在 个 参与 者 中 分 享 秘密 人 ,每 个 
参与 者 P 获得 一 个 份额 ;;。 

(2) 秘密 重 构 协 议 。 在 这 个 协议 中 ,任意 不 少 于 1 个 参与 者 一 起 合作 ,以 自己 的 份额 
为 输入 , 重 构 原 秘密 &。 

下 面 举 两 个 特例 以 便于 理解 门限 方案 的 概念 。 

(1) (1,2) 门 限 方案 ( 即 :一 1)。 

秘密 分 发 协议 : 将 秘密 & 分 发 给 所 有 的 参与 者 ,每 个 参与 者 均 得 到 一 个 &, 即 % 一 人 A， 
(1<i<n)。 

秘密 重 构 协 议 : 可 忽略 。 

该 特例 表明 ,只 要 有 1 个 参与 者 , 即 可 重 构 秘 密 。 该 方案 退化 为 密 钥 备份 方案 ,没有 
提高 抵御 密 钥 泄露 的 能 力 。 

(2) (2 门限 方案 ( 即 :一 2) 。 

秘密 分 发 协议 : 随机 选取 s; 分 发 P;(1 三 i 过 nn 一 1) ,将 秘密 一 AGE1s 分 发 给 参与 
者 到 5 

秘密 重 构 协议 : 所 有 参与 者 的 份额 异 或 得 到 &, 即 一 中 -si。 

该 特例 表明 ,必须 所 有 参与 者 参与 才能 重 构 ,否则 无 法 了 解 秘密 信息 。 该 方案 能 抵御 
密 钥 的 泄露 ,除非 所 有 份额 都 泄露 了 , 才 会 暴露 秘密 A。 但 该 方案 中 的 份额 不 能 丢失 ,和 否 
则 无 法 重 构 秘 密 。 这 一 方案 也 叫做 秘密 分 割 (secret splitting) 。 

在 初步 认识 了 门限 方案 后 ,下 面 介绍 Shamir 的 (1,n) 门 限 方案 。 

Shamir 的 (1,n) 门 限 方案 的 秘密 分 发 协议 描述 如 下 : 

设 p 是 一 个 素数 ,p 宇 n 十 1。 

(1) D 从 Z ,中 选取 n 个 不 同 的 非 零 元 xz ,zxs，… ,zn 三 p 一 1。D 将 xz; 分 配给 参与 
者 Pi;,1 三 in。zi ,Ts2，"…sX, 可 以 公开 。 

(2) 如 果 D 要 让 参与 者 Pi ,P, ,…,P. 分 享 一 个 密 钥 &AEZ,, 则 D 秘密 地 随机 选取 
一 1 个 元 案 ainaszcosaiiEZ2e 

(3) 对 1 二 i<n,D 计算 y;==a(zi) ,其 中 


alz) = (& 十 3 modp 
CD 万 将 > 秘密 地 分 配给 P ,1<ci<c 
Shamir 的 (+,n) 门 限 方案 的 基本 思想 是 : D 构造 了 一 个 次 数 至 多 为 1 一 1 的 随机 多 项 
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式 a(z) ,其 常数 项 为 密 钥 上。 每 个 参与 者 P; 得 到 了 多 项 式 a (zx) 所 确定 的 曲线 上 的 一 个 
点 (Zi,yi) ,1 三 in。 只 有 当 点 的 个 数 有 个 时 ,才能 重 构 多 项 式 a(x), 从 而 得 到 秘密 。 
注意 ,这 里 所 有 的 运算 都 是 有 限 域 Z。, 上 的 运算 。 

Shamir 的 (1,n) 门 限 方案 的 秘密 重 构 协 议 如 下 : 

假设 i 个 参与 者 P; ,Pi ,….P; 想 要 重建 密 钥 上 , 则 他 们 都 给 出 自己 的 zy 和 y; ,1 三 
j 三 t。 由 于 yi 二 a(zxi ) ,所 以 可 得 到 上 个 关于 未 知 数 &,al ,as，,… ,a,-1 的 线性 方程 : 


二 axa 十 az 十 "十 Qizi 二 yi; 
不 十 aza 十 aaz2 二 + 二 arizh! = yi dD 
k++azi, taszh t+ Tanzt! 一 加 
上 述 线性 方程 组 可 以 写成 矩阵 的 形式 : 
D> 3 ya 
1 wi a “ = i 
i CL 
1 . 疝 XY 7 Ql yi 


设 系数 矩阵 为 4。 显 然 ,4 是 一 个 Vandermonde 和 矩阵。 系数 矩阵 4 的 行列 式 为 
det(4) 一 I Ke —Zz,) modp 


1<i<m<: 


因为 zi ,zz，…zu 互 不 相同 ,所 以 det(4) 和 天 0。 因 此 ,线性 方程 组 (13. 1) 有 唯一 解 。 
这 说 明 任意 1 个 参与 者 能 够 重建 密 钥 。 

如 果 1 一 1 个 参与 者 P,P;,,…, P;_, 想 要 重建 密 钥 , 则 他 们 都 给 出 自己 的 xz; 和 
yi'1 二 jt 一 1, 可 以 得 到 1 一 1 个 关于 未 知 数 六 a1,as，… sari 的 线性 方程 。 由 这 1 一 1 个 
线性 方程 无 法 确定 上 个 未 知 数 A,al ,as，… sar- 的 唯一 解 。 当 然 ,Pi ,Pi,,…,P;_, 可 以 猜 
测 密 钥 & 的 一 个 值 。 假 设 他 们 猜测 & 一 ye。 因 为 c(0) 一 A 一 ,所 以 他 们 可 以 得 到 :个 线 
性 方程 。 


1 Zz 2 Be Zz ya 
1 Zh os > 洒 al yi 
9 a a EE: (13. 3) 
1 a Ee mh es 3 
1 0 0 … 0 a Yo 


线性 方程 组 (13. 3) 的 系数 矩阵 也 是 一 个 Vandermonde 矩阵 ,其 行列 式 不 为 0。 因 
此 ,线性 方程 组 (13. 3) 有 唯一 解 。 这 就 是 说 ,根据 P; , P;, ,…,P;_, 对 密 钥 k 的 每 一 个 猜 
测 值 w ,都 可 以 得 到 唯一 一 个 多 项 式 CQ (Zz) ,使 得 Wi a Ts ,sj 科 :一 1, 并 且 一 am (0)。 
因此 ,任意 :一 1 个 参与 者 得 不 到 关于 密 钥 & 的 任何 信息 。 

例 13.6 回 到 本 节 开 头 的 问题 。 某 个 银行 有 3 位 出 纳 ,他 们 每 天 都 要 开启 保险 库 。 
为 防止 每 位 出 纳 可 能 出 现 的 监 守 自 盗 行为 ,银行 规定 至 少 有 两 位 出 纳 在 场 才能 开启 保 
险 库 。 
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保险 库 门 上 的 电子 锁 是 按 Shamir 的 (1,n) 门 限 方案 设计 的 。 假 设 银行 管理 者 设置 了 
素数 p= 二 13。 另 外 ,n 二 3,t 二 2。 假 设 开启 保 险 库 门 上 的 电子 锁 的 密 钥 为 k 二 9。 银 行 管理 
者 秘密 选取 w 二 5, 得 到 多 项 式 c(z) 一 A 十 az 一 9 十 5z。 银 行 管理 者 再 选取 zi 一 1,zxs 一 
3,zs 一 5。 银 行 管理 者 将 上 述 所 有 参数 事先 设置 到 电子 锁 内 部 的 微 处 理 器 中 。 

银行 管理 者 计算 

一 ar) 一 (9 十 5X1l) mod13=1 

yz 一 a(zz) 一 (9 十 5X3) mod 13=11 

ys 一 aa(zs) 一 (9 十 5X5) mod 13=8 
并 将 wm ,yz ,ys 分 别 秘密 分 发 给 3 位 出 纳 Pi ,P: ,P: 。 

假设 出 纳 P, 和 Ps 想 要 开启 保险 库 , 则 他 们 分 别 将 y= 二 1 和 ys 二 8 输入 电子 锁 。 电 
子 锁 内 部 的 微 处 理 器 将 计算 出 密 钥 &。 因 为 


R 十 azl 一 沁 


有 十 aizs = ys 


两 式 相 减 得 a(x 一 zs) 一 yi 一 ya, 得 一半 一 于 。 因 此 , 密 钥 为 


1 一 3 
k= 一 Qi = 为 MC 3) 一 2 — ys) x 
1 Xs 1 Xs 
二 ( 2 二 x8] mod 13 
w= TI 一 Ta 5—1 1 一 5 


一 (5X4X1 二 1X( 一 4 X8) mod13 
(5X42X1l 十 1X9%-X8) mod13 
一 (5Xl10X1l 二 1x3Xx8) mod13=9 

电子 锁 内 部 的 微 处 理 器 判定 计算 出 的 密 钥 是 正确 的 密 钥 ,保险 库 的 门 打开 。 

其 实 ,更 一 般 地 ,可 利用 Lagrange 插值 公式 重 构 (t,z) 门 限 方案 中 的 密 钥 。 当 上 个 参 
与 者 PP。 ,……P, 想 要 重建 密 钥 人 时 ,可 以 利用 Lagrange 插值 公式 容易 地 求 得 密 钥 A， 
从 而 避免 求解 线性 方程 组 的 计算 。 

所 谓 插值 公式 (一 个 来 源 于 数值 分 析 的 概念 ) , 即 快速 确定 一 条 满足 经 过 点 (zh ,yn )， 
Cr, 加) ,sz sw ) 的 曲线 方程 , 易 知 ,经 过 1 个 点 可 以 唯一 地 确定 一 个 次 数 至 多 为 + 一 
1 的 多 项 式 。 根 据 Lagrange 插值 公式 

a(x) = gy 出 Tm 


jl SmStmtj Ti Ti 


容易 验证 
y=a(z), lj<t 
因为 密 钥 & 一 wa(0) ,所 以 
二 2 ys 员 2 


j=1 "1SmSeomti Tin Ti 


人 


第 已 章 高 级 协议 \@® 


则 直接 给 出 秘密 
和 一 Dy, 


例 13.7 设 PS ee 假设 P,P; ,Ps 想 要 重 构 密 钥 &， 
1 二 8,ys 二 10,ys 二 11。 使 用 插值 公式 ,直接 计算 得 


T3T5 


modl17 王 3X5X(3 一 1)X(5 一 1) mod 17 一 4 
(zs 一 ZI1)(Czs 一 TI) 


bh 


XiXs 
《一 ED 一》 


Do mod17=1X5X(1—3) Xx(5—3)" mod 17= 3 


TI1X3 


mod17=1X3X(1—5)" Xx(3—5)"! mod17=11 
(zi — Zs) (zs — zs) 


ps = 


从 而 密 钥 为 k= 2 bjy; mod 17 = 4X8+3X10+11X1l mod17= 13。 
j=1 


13.5 ”安全 多 方 计算 * 


安全 多 方 计算 (secure multiparty computation) 是 指 在 一 个 互 不 信任 的 多 用 户 网 络 
中 ,各 用 户 能 够 通过 网 络 来 协同 完成 可 靠 的 计算 任务 ,同时 又 能 保持 各 自 数 据 的 安全 性 。 
安全 多 方 计算 其 实 是 一 种 分 布 式 协议 ,协议 的 目的 是 一 组 参与 者 希望 共同 计算 某 个 约定 
的 函数 ,每 个 参与 者 提供 函数 的 一 个 秘密 的 输入 。 即 nn 个 成 员 pi ,ps，…,p， 分 别 持 有 秘 
密 的 输入 zi ,zs，… ,zs, 试 图 计算 函数 值 y 二 f(z ,zs，… ,zx,), 式 中 了 是 给 定 的 函数 。 所 
谓 “ 安 全 "是 指 既 要 保证 函数 值 的 正确 性 ,又 不 暴露 任何 有 关 各 自 秘密 输入 的 信息 。 如 果 
存在 安全 可 信 第 三 方 (TTP), 这 个 问题 就 容易 解决 ,可 让 TTP 计算 出 函数 值 , 再 将 函数 
值 公布 给 各 参与 者 ,但 现实 中 很 难 找 到 这 样 的 TTP, 于 是 安全 多 方 计算 协议 便 应 运 而 生 。 

安全 多 方 计算 起 源 于 图 灵 奖 获得 者 姚 期 智 (Andrew C. Yao) 于 1982 年 提出 的 百 万 富 
翁 问 题 D。 安 全 多 方 计算 有 很 强 的 应 用 背景 ,如 网 上 电子 投标 (拍卖 )` 网 上 商业 谈判 和 电 
子 选举 计 票 等 ,还 可 以 用 来 认证 。 安 全 多 方 计算 目前 已 经 成 为 密码 学 中 一 个 极其 重要 的 
工具 。 

安全 多 方 计算 就 是 满足 下 述 3 个 条 件 的 密码 协议 : 

(1) 多 个 参与 者 利用 每 个 人 的 秘密 输入 来 计算 某 个 多 变量 复合 函数 的 值 。 

(2) 参与 者 希望 保持 某 种 安全 性 (如 机 密 性 与 正确 性 ) ,例如 在 安全 电子 投票 协议 中 
要 保持 投票 者 所 投 内 容 的 机 密 性 与 票数 计算 的 正确 性 。 

(3) 协议 既 要 保持 在 发 生 非 协议 参与 者 攻击 行为 下 的 安全 性 ,也 要 保持 在 发 生 协议 
参与 者 攻击 行为 下 的 安全 性 ,但 不 包括 协议 参与 者 的 主动 欺骗 行为 , 即 故意 输入 错误 的 秘 
密 数据 的 情况 。 

平均 薪水 问题 和 百 万 富翁 问题 是 安全 多 方 计 算 协议 的 典型 例子 ,下 面 以 这 两 个 协议 
为 例 介绍 安全 多 方 计算 。 


® A.C.Yao.Protocols for Secure Computation. Proc. of FOCS'82: 160-164. 
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1351 平均 薪水 问题 


平均 薪水 问题 是 指 : 假设 某 公 司 的 半 个 职员 想 了 解 他 们 每 月 的 平均 薪水 有 多 少 ,但 
是 每 个 职员 又 不 想 让 任何 其 他 人 知道 自己 的 薪水 ,那么 他 们 的 平均 薪水 如 何 来 计算 ? 不 
妨 设 公 司 有 个 职员 Ai,As,…,A, 他们 的 薪水 分 别 为 rz, ,zx,。 平 均 薪水 问题 可 
以 描述 为 : 对 nn 个 秘密 输入 1 ,x;，,… ,zx, ,如 何 计算 函数 值 

(zyzzy Ze) 一 (zl 十 zz 十 … 十 Zn)/7z 

1. 协议 描述 

为 了 在 不 需要 任何 第 三 方 参与 的 情况 下 计算 f(zi ,zs，…,z,) ,可 以 执行 如 下 的 协议 
完成 上 述 任务 : 

(1) nn 个 职员 共同 确定 一 种 公 钥 加 密 体制 (E 为 加 密 算 法 ,D 为 解密 算法 ) ,然后 每 个 
职员 各 自选 定 自己 的 公私 钥 对 ,不 妨 设 职员 A; 的 公私 钥 对 为 (pk; ,sk;)。 

(2) A; 选择 一 个 随机 数 + 并 加 到 自己 的 薪水 上 得 -十 zi,' 然 后 把 Eue (Cr 十 zl) 发送 
给 A,。 

(3) As 解密 得 Ex, (Eu (r 十 zi)) 一 r 十 zi 后 ,加 上 自己 的 薪水 得 r 十 zi 十 zs, 然后 把 
结果 Epo (Cr 十 zi 十 zz ) 发 送 给 A: o 

(4) A; 执行 与 A 类 似 的 操作 ,A, ,As ,… ,A,-1 继 续 同 样 的 操作 。 

(5) A, 用 其 私 钥 解 密 得 Ea (Ba (rt a a Ea 
后 ,加 上 自己 的 薪水 ,然后 把 Es (r 十 zi 十 zz 十 … 十 zw) 发 送 给 Ai 。 

(6) Al 解密 得 Ex (Es (ri ert rt to D0)=rtertert"Tsai 局 ,将 其 减 
去 随机 数 ,再 除 以 总 人 数 便 得 公司 职员 的 平均 薪水 : 

《二 下 

Ai 向 A: ,A;,…,A, 公布 平均 薪水 的 结果 。 

例 13.8 设 有 3 个 职员 A,,A:,A: ,他 们 的 薪水 分 别 是 zi 一 2,zs 一 6,zs 一 7, 下 面 用 
上 述 协议 求 他 们 的 平均 工资 。 

不 妨 设 3 人 协商 好 用 ElGamal 公 钥 密码 体制 进行 加 解密 ,g 和 zp 分 别 表示 本 原 元 和 
大 素数 ,pki = 二 6,ski = 二 10,g1 = 二 13,p1 二 19;pkzs 二 6,sks = 二 5, gz 二 2,ps = 二 13;pks 二 3,sks 
8,g3=2,ps=11。 

Ai 选择 一 个 随机 数 一 2 并 加 到 自己 的 薪水 上 得 r 十 zi 二 2 十 2 二 4, 然 后 随机 取 数 
mm 王 7, 计算 


cu = gh mod ps = 2’ mod 13= 11 

clz = (rx)(pks)™ mod ps = 4X(6)’ mod 13=2 
最 后 把 密 文 对 (cu ,cz) 二 (11,2) 发 送 给 A,。 

As 用 其 私 钥 解 密 : 
r 士 一 ciz/c 岂 mod ps 一 2/115 mod 13 = 2X (115)- mod 13 
=2X7 mod13=2X2mod13=4 
加 上 A，, 的 薪水 得 r 十 zi 十 zz 二 4 十 6 二 10, 然 后 随机 取 数 ,二 3, 计 算 
ca = g¥ mod ps=2modl1ll=8 
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cz = (r 十 zl 十 zz)(pks) 2 mod ps = 10X (3)? mod 11=6 
最 后 把 密 文 对 (ca ,cz ) 二 (8,6) 发 送 给 A: 。 
As; 用 其 私 钥 解密 : 
7r 十 zi 十 za 一 czz/c 总 mod ps 二 6/(8) mod11 一 6X(8s) -mod 11 
=6X5 modll=6X9 mod1l= 10 
加 上 A; 的 薪水 得 r+ 十 zi 十 zs 十 x3 二 10 十 7 二 17 ,然后 随机 选取 数 n= 二 11, 计 算 
cl = g% modpi=13! mod19=2 
cs = (r 十 Ti 十 Xz 十 ZX3)(pki)* mod pi = 17X (6)! mod 19=4 
最 后 把 密 文 对 (ca ,caz ) 二 (2,4) 发 送 给 Al。 
Ai, 用 其 私 钥 解 密 : 
r 十 i 十 Xz 十 X3== cz /Cc 由 mod pi 一 4/(20) mod 19 = 二 4X (2)-! mod 19 
=4X17" mod19=4X9mod19=17 
从 而 得 r 十 zi 十 zz 十 zs 一 17 一 * 一 17 一 2 一 15, 最 终 得 平均 薪水 为 
Crziyzeyzs) 一 (zl 十 zz 十 zs)/3 一 15/3 一 5 
Ai, 向 As ,As 公布 平均 薪水 为 5。 
2. 关于 协议 的 几 点 注释 
上 述 协议 假定 每 个 职员 是 诚实 的 , 即 每 个 职员 加 上 去 的 是 他 们 的 真实 薪水 ,如果 某 个 
职员 谎报 了 薪水 , 则 最 后 A, 计算 出 的 平均 薪水 就 是 错误 的 。 
A, 必须 是 诚实 的 ,否则 在 A, 计算 出 正确 的 平均 薪水 后 ,可 能 向 其 他 人 公布 一 个 错误 
的 平均 数 。 
Ai 在 协议 的 第 (6) 步 减 去 任意 一 个 数 其 他 人 也 无 从 知晓 ,为 了 防止 A, 这 样 做 ,可 利 
用 前 面 提 到 的 比特 承诺 方案 让 A, 对 他 选择 的 随机 数 ~ 作出 承诺 。 
车 在 协议 执行 过 程 中 A 选择 的 随机 数 ;发 生 泄露 ,那么 所 有 职员 的 薪水 就 会 泄露 。 
该 随机 数 必须 是 一 个 较 大 的 随机 数 , 以 防止 穷 举 搜索 攻击 。 
1352 百 万 富翁 问题 
百 万 富翁 问题 是 姚 期 智 于 1982 年 提出 的 第 一 个 两 方 安全 计算 问题 , 百 万 富翁 问题 
是 : 两 个 百 万 富翁 在 街头 相遇 ,他 们 想 比 较 谁 更 富有 ,但 又 不 想 让 对 方 了 解 自己 的 财富 有 
多 少 。 如 果 他 们 能 找到 一 个 双方 都 可 以 信任 的 第 三 方 来 做 此 事 , 则 问题 很 容易 解决 。 但 
如 果 其 中 有 一 位 百 万 富翁 除了 自己 外 谁 也 不 相信 , 则 问题 就 变 得 复杂 ,那么 如 何在 不 借助 
任何 第 三 方 的 情况 下 比较 他 们 财富 的 大 小 ? 下 面 给 出 了 一 个 解决 百 万 富翁 问题 的 协议 。 
1. 协议 描述 
不 妨 设 A 和 也 是 两 个 百 万 富翁 ,A 拥有 的 真实 财富 是 i 百 万 ,B 拥有 的 真实 财富 是 j 
百 万 ,该 问题 可 以 用 数学 表示 为 : 对 两 个 秘密 输入 i 和 j ,判断 函数 值 f(i,j) 二 i 一 j 二 0 还 
是 f(i, 站 =i 一 j0。 假定 A 和 B 两 人 拥有 的 财富 数目 没有 超过 N 百 万 , 即 1<&i,j 寺 NN。 
为 了 在 不 让 任何 第 三 方 参与 的 情况 下 比较 i 和 j 的 大 小 ,又 不 向 对 方 泄露 各 自 的 财富 , 则 
他 们 可 以 执行 如 下 的 协议 : 
(1) A 和 B 共 同 协商 一 种 公 钥 加 密 体 制 (E 为 加 密 算 法 ,D 为 解密 算法 ) ,不 妨 设 B 的 
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公 钥 和 私 钥 分 别 是 pks 和 sks。 

(2) A 随机 选择 一 个 大 随机 数 z, 用 B 的 公 钥 加 密 得 c= Eu (z) ,然后 将 c 一 i 发 送 
给 B。 
(3) B 首先 计算 N 个 数 : y, 二 Ds 《c 一 i 十 ww) ,一 1,2,…,N。 然 后 随机 选择 一 个 大 
素数 p, 青 计算 NN 个 数 : z, 一 ymod p,u 一 1.2,…,N。 接 着 验证 对 于 所 有 的 0<a 关 5b 夺 
NN 一 1, 是 否 都 满足 |x, 一 z | 三 2, 若 不 满足 , 则 重新 选择 大 素数 p 并 重新 验证 。 最 后 ,B 将 
以 下 的 N 十 1 个 数 串 发 送 给 A: zi ,zz ,zj sZt 十 1 ,zj+z 十 1，… ,zn 十 1 和 pp。 

(4) 设 A 收 到 N 十 1 个 数 串 的 第 i 个 数 是 x;, 若 满足 x; 二 x mod p, 则 结论 是 i<j; 否 
则 i>j。 

(5) A 将 最 终 的 结论 告诉 B。 

2. 协议 举例 

设 A 和 B 两 个 百 万 富翁 的 财富 都 不 超过 1000 万 , 即 i,j 二 10, 其 中 A 的 财富 是 900 
万 ,B 的 财富 是 400 万 , 即 A 和 B 的 秘密 数 分 别 为 ==9 和 7 一 4。 

(1) A 和 B 选 定 用 RSA 公 钥 算法 对 数据 加 密 , 双 方 约定 一 221, 且 pks 二 35， 
sks=11。 

(2) A 随机 选择 整数 zx 一 92, 计 算 c= 二 Es (zx) 二 Ess (92) 二 92” mod 221 一 105, 然 后 把 
c 一 i 二 105 一 9 二 96 发 送 给 B。 

(3) 对 4 二 1,2,…,10,B 分 别 计算 y, 二 Ds (c 一 证 xz 一 Dia(96 十 xD) : 

1 = Du(96+1) = Di(97) = 97 mod 221 = 193 
ys = Dun(96+2) = Dn(98) 一 980 mod 221 = 106 
ys = Du (96+3) = Du(99) = 99" mod 221 = 44 
% = Du(96+4) = Dn(100) = 100' mod 221 = 94 
ys = Du (96+5) = Di(101) = 101" mod 221 = 186 
ye = Du (96+6) = Di(102) = 1020 mod 221 = 136 
mm = Du (96+7) = Di(103) = 1030 mod 221 = 103 
ys = Du (96+8) = Di(104) = 104' mod 221 = 195 
xy = Dun(96+9) = Di(105) 一 1050 mod 221 = 92 
yo = Dun(96+10) = Di(106) = 106' mod 221 = 98 
取 素 数 p= 二 109, 计 算 z, 二 ymod p 二 ymod 109,u 二 1,2,…,10, 得 

zi = y1 mod 109 = 193 mod 109 = 84 

zz = ys mod 109 = 106 mod 109 = 106 

xsa = ys mod 109 = 44 mod 109 = 44 

z = ys mod 109 = 94 mod 109 = 94 

zs = ys mod 109 = 186 mod 109 = 77 

ze = ye mod 109 = 136 mod 109 = 27 

xy = yy mod 109 = 103 mod 109 = 103 

xs = ys mod 109 = 195 mod 109 = 86 


第 纪 章 高 级 协议 到 
ze = ys mod 109 = 92 mod 109 = 92 
zi = yo mod 109 = 98 mod 109 = 98 

(4) B 检 验 数 列 84,106,44,94,78,28,104,87,93,99 是 一 个 “好 数列 ”, 然 后 将 以 下 
11 个 数 发 送 给 A: 84,106,44,94,78,28,104,87,93,99,109。 

(5) A 检查 该 数列 中 的 第 9 个 数 是 93, 因 为 93 隆 92 mod 109 ,所 以 这 六 即 A 比 B 更 
富有 。 

(6) A 将 结果 告诉 B。 

3. 协议 说 明 

(1) 当 且 仅 当 i<j 时 ,数列 ,za 六 ,+ 十 1,zi+ 十 1, ,zw 十 1, 力 中 才 存 在 数 
xi 满足 二 一 z mod p ,否则 该 数列 中 任何 数 模 p 都 不 与 x 同 余 。 

(2) 要 求 x, 中 的 任何 两 个 数 。 ,xs 满足 |z, 一 zs | 宇 2 是 为 了 保证 B 发 送 给 A 的 N 十 
1 个 数 的 数列 = ,zj ,jt1 十 1 ,+z 十 1，,… ,zn 十 1,p 中 任意 两 个 数 不 同 ,一 般 称 这 样 
的 数列 为 “好 数列 ”。 因 为 车 数列 中 存在 两 个 数 zx, 二 zm 二 n, 则 A 可 以 判断 出 也 的 秘密 
数 的 大 致 范围 为 m 三 j 二 n。 

(3) A 比 了 先知 晓 了 最 终 的 结果 , 若 A 欺骗 B 告诉 他 相反 的 结论 , 则 该 协议 是 不 公 
平 的 。 为 了 增加 公平 性 ,B 可 以 要 求 与 A 交换 角色 , 即 原来 A 执行 的 步骤 现 由 B 执行 ,而 
由 B 执 行 的 步骤 改 由 A 执行 。 这 样 B 也 可 以 首先 得 出 结论 。 

(4) 协议 无 法 判断 i=j 的 情况 ,这 是 该 协议 的 一 个 缺点 。 即 只 知道 i<j ,相等 的 情况 
无 法 判定 。 

(5) 协议 假定 秘密 数 是 正 整数 ,而 若是 一 般 的 实数 ,可 以 考虑 两 个 实数 的 最 大 整数 部 
分 并 对 协议 做 相应 的 修改 。 

(6) 协议 只 涉及 两 方 的 安全 计算 ,可 将 上 述 协议 推广 到 任意 多 方 的 安全 计算 。 

(7) 当 两 方 的 秘密 数 很 大 时 ,协议 的 计算 量 非 常 大 : 设 待 比较 的 两 个 数 的 长 度 ( 十 进 
制 表 示 的 位 数 ) 为 n, 则 数 的 范围 是 10" ,是 输入 规模 的 指数 。 其 中 ,协议 第 (3) 步 中 的 解密 
次 数 和 协议 第 (4) 步 中 的 检验 次 数 都 是 10" ,协议 第 (3) 步 中 的 检验 次 数 为 10”/2。 因 此 计 
算 复杂 性 为 输入 规模 的 指数 函数 。 如 果 输 入 规模 为 100, 则 计算 复杂 性 为 0(10'”) ,这 样 
的 计算 量 实际 上 是 不 可 能 实现 的 。 因 此 这 个 协议 对 于 比较 两 个 较 大 的 数 不 实 用 。 
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本 部 分 介绍 了 实体 认证 协议 、 身 份 识别 协议 、 密 钥 协 商 协议 以 及 高 级 协议 。 本 部 分 的 
重点 是 基于 口令 的 实体 认证 协议 、 基 于 挑战 应 答 的 密 钥 协商 协议 、 比 特 承诺 、 秘 密 共享 , 难 
点 是 身份 识别 协议 的 一 般 解释 、 零 知识 证 明 、 安 全 多 方 计算 。 本 部 分 的 知识 点 在 下 图 给 出 
了 概括 : 


基于 口令 的 认证 协议 
基于 口令 | 基于 散 列 链 的 认证 协议 

认证 的 密 钥 交 换 协议 

基于 对 称 密码 : 一 路 单 向 ,两 路 单 向 ,两 路 双向 ,三 路 双向 
基于 挑战 基于 公 钥 密码 一 路 单 向 ,两 路 单 向 ,两 路 双向 ,三 路 双向 ， 
应 答 协议 两 路 并 行 认证 协议 

基于 散 列 函数 构造 
Fiat-Shamir 协议 : z=r? modn y=r*s modn 
Feige-Fiat-Shamir 协议 : Fiat-Shamir 协议 的 并 行 版 本 
Guillou-Quisquater 协议 : z= mod n y=ru* mod n 
身份 识别 1Schnorr 协议 : Commit=g" mod 记 ， response 一 r 十 S。challenge mod gq 


实体 认证 


Okamoto 协议 : Commit 一 gr ee modp ”responsel 一 r 十 S1。challenge mod 9 
ee en 

DH 一"STS 一 一 MTI ECMQV 

会 议 密 钥 。 Shamir 3 次 传递 

比特 承诺 函数 的 选 定 : 屏蔽 性 和 绑 定 性 

比特 承诺 方案 : 承诺 阶段 和 打开 阶段 

基于 Goldwasser-Micali 概率 加 密 体制 的 比特 承诺 

Petersen 比特 承诺 


密 负 协商 


第 3 部 分 的 
主要 知识 点 利用 单 向 散 列 卫 数 构造 | 


比特 承诺 | 利用 对 称 密码 算法 


利用 安全 散 列 函数 抛 硬币 
电话 投 币 (Ri 
利用 二 次 剩余 投 币 
洞穴 的 故事 
零 知 识 证 明 | sm 
Hamilton 路 径 
基于 大 整数 分 解 的 二 选 一 OT 
基于 离散 对 数 问题 的 二 选 一 OT 
基于 单 向 函数 的 多 选 一 OT 
基于 离散 对 数 的 多 选 一 OT 


二 造 一 
不 经 意 传输 乡 先 一 
nn 选 尺 
秘密 共享 ” Shamir 门限 方案 


、 ， (平均 薪水 问题 
安全 多 方 计算 | 百 万 富 肝 问题 


扩展 阅读 建议 


按照 时 间 顺 序 阅读 身份 识别 协议 的 系列 经 典 论 文 是 有 益 的 。 

Fiat, A. Shamir. How to Prove Yourself: Practical Solutions to Identification and 
Signature Problems. Crypto'’86, 1987: 186-194. 

U. Feige, A. Fiat, A. Shamir. Zero Knowledge Proofs of ldentity. Journal of 
Cryptology, 1988, 1: 77-94. 

L. Guillou, J. Quisquater. A Practicial Zero-Knowledge Protocol fitted to Security 
Microprocessors Minimizing Both Transmission and Memory. Eurocrypt 1988, 123-128. 

Schnorr. Efficient Signarure Generation for Smart Cards. Journal of Cryptology, 
1991, 4(3): 161-174. 

T. Okamoto. Provable Secure and Practical Identificaiton Schemes and 
Corresponding Digital Signature Schemes. Crypto'92, 1992: 31-52. 

秘密 共享 方面 的 经 典 文献 如 下 : 

A. Shamir. How to Share a Secret. Communication of the ACM 1979, 22(11): 
612-613. 

C. Asmuth J. Bloom. A Modular Approach to Key Safeguarding. IEEE 
Transaction of Information Theory 1983 ,29(2) : 208-210. 

P. Feldman. A Proactical Scheme for Non-Interactive Verifiable Secret Sharing. 
FOCS87, 427-437. 

G.J. Simmons. An Introduction to Shared Secret and/or Shared Control Schemes 
and Their Applications. in Comtemporary Cryptography: The Science of Information 
Integrity. G. J. Simmons (Ed. )IEEE, 1992: 441-497. 

M. Naor, A. Shamir. Visual Cryptogrphy. EuroCrypto94, 1995: 1-12. 

刘 木 兰 , 张 志 芳 . 密 钥 共享 体制 和 安全 多 方 计算 . 北京 : 电子 工业 出 版 社 ,2000. 
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第 人 4 章 
基于 身份 的 公 钥 密码 学 


14.1 概念 ,困难 假设 与 IBE 


攻 11 基于 身份 的 公 钥 密码 学 概念 的 提出 


前 面 曾经 介绍 , 公 钥 证 书 的 目的 是 将 用 户 身份 ID 与 用 户 的 公 钥 进行 绑 定 , 绑 定 的 可 
信 性 和 权威 性 表现 为 CA 为 这 一 绑 定 进行 了 签名 , 即 公 角 证书。 一 个 很 直接 的 想法 是 能 
否 避 免 这 种 绑 定 , 即 不 需要 公 钥 证 书 。1984 年 , Shamir 提出 了 一 种 基于 身份 的 加 密 
(Identity-Based Encryption,IBE) 的 思想 ,直接 将 用 户 的 身份 作为 公 钥 ,这 样 就 不 需要 绑 
定 公 钥 和 身份 ,于 是 不 需要 使 用 任何 证 书 , 以 此 来 简化 公 钥 基础 设施 (PKI) 中 基于 证 书 的 
密 钥 管 理 过 程 。 

基于 身份 的 公 钥 加 密 可 以 用 在 加 密 电 子 邮 件 的 场景 : 用 户 A 给 用 户 B 发 加 密 的 电 
子 邮件 ,B 的 邮件 地 址 是 bob@company. com,A 只 要 将 “bob@company. com” 作 为 也 的 
公 钥 来 加 密 邮 件 即 可 。 当 Bob 收 到 加 密 的 邮件 后 ,与 一 个 可 信 第 三 方 即 密 钥 生成 中 心 
(Key Generation Center,KGC) 联 系 , 与 向 CA 证 明 自 己 身 份 一 样 ,B 向 KGC 证明 自己 ， 
并 从 服务 器 获得 解密 用 的 私 钥 ,然后 解密 阅读 邮件 。 该 过 程 如 图 14. 1 所 示 。 


KGC 


加 B 向 KGC 证 明 图 为 B 产 生 私 钥 


自己 的 身份 


用 “bob@company.com” 
加 密 邮 件 


用 | LL -| 摘 KB 


图 14.1 基于 身份 的 加 密 方案 示意 图 


与 现 有 的 安全 电子 邮件 相 比 ,即使 B 还 未 建立 自己 的 公 钥 证 书 ,A 也 可 以 向 B 发 送 
加 密 的 邮件 。 因 此 这 种 方法 避免 了 公 钥 密码 体制 中 公 钥 证 书 从 生成 签发 存储、 维护 更 
新 到 撤销 这 一 复杂 的 生命 周期 过 程 。 

基于 身份 的 密码 系统 与 基于 公 钥 证 书 ( 公 钥 基础 设施 ) 的 密码 系统 相 比 的 好 处 在 于 : 
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(1) 用 户 之 间 既 不 用 交换 私 钥 也 不 用 交换 公 钥 。 

(2) 不 需要 公共 的 证 书 服务 器 。 

(3) 只 在 系统 建立 阶段 需要 一 个 可 信和 的 机 构 为 系统 中 每 个 用 户 生成 密 钥 , 且 用 户 绝 
对 信任 该 可 信 机 构 。 

图 14. 2 给 出 上 述 两 种 公 钥 密码 体制 的 区 别 示意 图 。 


剖 "[ 册 | 和 -L 梧 | 
pk sk 
人 A 密 明 产生 

| mms 


信道 
消息 "| 加密 人 解密 ”| 
pk=ID | 
密 钥 产生 
| | 


(b) 基于 身份 的 公 钥 密码 体制 
图 14.2 基于 公 钥 证 书 的 公 角 密码 体制 与 基于 身份 的 公 钥 密码 体制 的 区 别 


这 里 的 随机 种 子 其 实 就 是 密 钥 生成 中 心 (KGC) 的 主 密 钥 ,这 要 求 满足 两 个 附加 
条 件 : 

(1) 当知 道 随机 种 子 时 ,能 从 pk( 即 ID) 很 容易 求 出 sk。 

(2) 从 一 对 特定 的 sk 和 pk( 即 ID) 推 测 出 种 子 ~ 是 困难 的 。 

自 Shamir 提出 这 种 IBE 的 新 思想 后 ,由 于 没有 找到 有 效 的 实现 工具 ,其 实现 方法 一 
直 是 一 个 公开 问题 。 直 到 2001 年 ,Dan Boneh 和 Matt Franklin 提出 了 第 一 个 实用 的 基 
于 身份 的 公 钥 加 密 方案 。 他 们 的 方案 使 用 了 椭圆 曲线 上 的 双 线 性 映射 (如 Weil 配对 和 
Tate 配对 )。 双 线性 映射 (bilinear mapping) 是 满足 条 件 Pair(aX,b 站 二 Pair(bX ,a 站 的 
映射 Pair, 其 中 a 和 6。 是 整数 ,X 和 Y 是 椭圆 曲线 上 的 点 。 用 户 的 身份 映射 为 一 对 公 钥 / 
私 钥 对 。 

目前 ,基于 身份 的 密码 技术 也 展开 了 标准 化 进程 。2006 年 国际 标准 化 组 织 (ISO) 出 
台 了 相关 标准 ISO 4888 一 3。IEEE 也 组 织 了 专门 的 基于 身份 的 密码 学 工作 组 (IEEE 
P1363.3),IETF 的 SMIME 工作 组 则 进行 了 基于 身份 密码 技术 应 用 在 电子 邮件 中 的 标 
准 化 工作 。 

思考 14.1 能 否 利用 与 EIGamal 中 的 (g") "一 (8") 类 似 的 结构 构造 基于 ID 的 公 钥 
加 密 方案 。 
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回顾 ElGamal 公 钥 加 密 的 构造 思路 : 通过 可 交换 的 单 向 函数 ,临时 选择 一 个 随机 数 
六 构造 一 个 类 似 于 “一 次 一 密 ? 的 对 称 密 钥 ,然后 使 用 该 对 称 密 钥 加 密 .“ 一 次 一 密 ” 表 现 
在 每 次 加 密 都 选取 一 个 随机 数 构 造 用 于 加 密 的 密 钥 。 在 基于 身份 的 加 密 中 ,和 (8g") "一 
(g")" 类 似 的 结构 就 是 Pair(eX,pY) 一 Pair(6X,aY) 。 根 据 这 一 思想 ,构造 方案 如 下 

(1) 初始 化 。 密 钥 生 成 中 心 (KGC) 选 取 一 条 椭圆 曲线 、 秘 密 整 数 * 和 椭圆 曲线 上 的 
一 点 PP ,公开 P 和 xsP。 

(2) 加 密 。 发 送 方 A 想 向 接收 方 B 发 送 消息 M, 首 先 将 B 的 身份 (如 bob@ 
company. com) 经 散 列 函数 映射 到 椭圆 曲线 上 的 一 个 点 , 记 为 Qm ,然后 取 一 个 秘密 的 随 
机 数 ,计算 & 一 Pair(CrQm ,sP) ,作为 加 密 密 钥 。 最 后 将 加 密 结果 E; (M) 和 rP 发 给 接收 
方 B。 其 中 巨 是 对 称 密 钥 加 密 算法 。 

(3) 私 钥 产 生 。 接 收 方 B 收 到 及 COM 和 >rP 后 ,向 密 钥 服务 器 提出 申请 ,服务 器 在 对 
B 认证 后 ,计算 *Qn 并 发 送 给 B,B 以 sQo 作 为 私 钥 。 

(4) 解密 。B 收 到 私 钥 后 ,计算 &A 一 Pair(sQmn ,rP) ,使 用 及 EE 对 密 文 解密 。 由 于 映 
射 Pair 的 性 质 ,B 计算 的 & 与 A 使 用 的 相等。 其 他 人 不 知道 私 钥 ;Qiw , 故 无 法 得 到 &。 

容易 看 到 ,方案 的 关键 就 是 k= 二 Pair(rQw ,sP) 王 Pair(sQno ,rP)。 


1412 双 线 性 映射 和 双 线 性 DH 假设 


前 面 多 次 提 到 , 公 钥 密码 学 加 密 ( 或 签名 ) 方 案 都 是 基于 某 个 困难 性 假设 来 构造 。 本 
节 介绍 一 个 新 的 安全 性 假设 一 一 双 线 性 DH 假设 。 用 Z ,代表 在 模 g 加 法 群 {0,1,…,g 一 1)。 
对 于 阶 为 素数 的 群 C, 用 G" 代表 集合 G/{O} ,这 里 O 为 G 中 的 单位 元 素 。 用 Z + 代表 正 
整数 集 。 

1. 双 线 性 映射 

设 g 是 一 个 大 素数 ,G, 和 Gs 是 两 个 阶 为 gq 的 群 ,其 上 的 运算 分 别称 为 加 法 和 乘法 。 
G1 到 Gs 的 双 线性 映射 e:G1 XG1 一 G: 满足 下 面 的 性 质 ， 

(1) 双 线性 : 如 果 对 任意 P,Q,REG 和 a,bEZ ,有 elaP,bQ) 一 e(P,Q)*% 或 e(P 十 
Q;R) 二 e(P,R)，e(Q,R) 和 el(P,Q 十 R) 二 e(P,Q)，e(P,R), 那 么 就 称 该 映射 为 双 线性 
映射 。 

(2) 非 退 化 性 : 映射 不 把 G1 XG 中 的 所 有 元 素 对 ( 即 序 偶 ) 映 射 到 G 中 的 单位 元 。 
由 于 G1,Gs 都 是 阶 为 素数 的 群 ,这 意味 着 : 如 果 己 是 G, 的 生成 元 ,那么 eCP,P) 就 是 Gs 
的 生成 元 。 

(3) 可 计算 性 : 对 任意 的 P,QE Gi ,存在 一 个 有 效 算法 计算 e(P,Q)。 

Weil 配对 和 Tate 配对 是 满足 上 述 3 条 性 质 的 双 线 性 映射 。 

2. DDH 问题 

相应 地 ,可 以 给 出 群 C, 中 的 判定 性 Diffie-Hellman 问题 ,简称 DDH (Decision Diffie- 
Hellman) 问 题 : 已 知 P,aP,bP,cP, 判 定 c==ab mod g 是 否 成 立 , 其 中 是 GY? 中 的 随机 
元 素 ,a,b,c 是 Z ?中 的 随机 数 。 

由 双 线 性 映射 的 性 质 可 知 : c= 二 ab mod g 今 e(P,cP) 二 elaP,bP), 因 此 可 将 判定 是 否 
成 立 转变 为 判定 c==ab mod g 是 否 成 立 , 所 以 G 中 的 DDH 问题 是 简单 的 。 
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3. CDH 问题 

Gi 中 的 计算 性 Diffie-Hellman 问题 简称 CDH(Computational Diffie-Hellman) 问 题 ， 
是 指 已 知 P,aP,bP, 求 abP, 其 中 是 Gr? 中 的 随机 元 素 ,a,b 是 Zi 中 的 随机 数 。 与 Ci 
中 的 DDH 问题 不 同 ,G, 中 的 CDH 问题 不 因 引 入 双 线 性 映射 而 解决 ,因此 它 仍 是 困难 
问题 。 

4. BDH 问题 和 BDH 假设 

由 于 Gi 中 的 DDH 问题 简单 ,那么 就 不 能 用 它 来 构造 G, 中 的 密码 体制 ,IBE 体制 的 
安全 性 是 基于 CDH 问题 的 一 种 变形 , 称 为 双 线 性 DH 假设 。 

双 线 性 DH 问题 简称 为 BDH (Bilinear Diffie-Hellman) 问 题 ,是 指 给 定 (P,aP,bP， 
cP)(a,b,cEZ;), 计 算 w=e(P,P)* EG,, 其 中 e 是 一 个 双 线 性 映射 ,P 是 G, 的 生成 
元 ,G1 ,Gs 是 阶 为 素数 g 的 两 个 群 。 目 前 还 没有 有 效 的 算法 解决 BDH 问题 ,因此 可 假设 
BDH 问题 是 一 个 困难 问题 ,这 一 假设 即 为 BDH 假设 。 


1413 BonenFanuin IBE 方 案 


1. IBE 方案 的 一 般 定义 

基于 身份 的 加 密 方案 通常 由 4 个 算法 组 成 : 系统 参数 建立 , 密 钥 产生 ,加 密 过 程 , 解 
密 过 程 。 系 统 中 包含 一 个 可 信 第 三 方 KGC。 

(1) 系统 参数 建立 : 输入 一 个 安全 参数 ,输出 系统 参数 和 主 密 钥 (mk)。 系 统 参数 包 
括 明文 空间 M、 密 文 空间 C、 散 列 函数 等 ,完全 公开 。 主 密 钥 用 于 计算 私 钥 , 由 KGC 秘密 
保存 。 

(2) 密 钥 产生 : 输入 系统 参数 . 主 密 钥 和 用 作 公 钥 的 任意 字符 串 IDE {0,1)" ,输出 与 
公 钥 ID 对 应 的 私 钥 dm 。 

(3) 加 密 过 程 : 输入 系统 参数 、 公 钥 ID 和 明文 mE M, 返 回 相应 的 密 文 。 

(4) 解密 过 程 : 输入 系统 参数 、 私 钥 dp 和 密 文 cEC, 返 回 相应 的 明文 。 

2. Boneh-Franklin IBE 方案 

前 面 已 经 提 到 ,2001 年 Dan Boneh 和 Matt Franklin 提出 了 第 一 个 实用 的 基于 身份 
的 公 钥 加 密 方案 。 具 体 方案 如 下 : 令 & 是 安全 参数 ,g 是 BDH 参数 生成 算法 ,其 输出 包 
括 素数 g, 两 个 阶 为 g 的 群 G， 和 G; ,一 个 双 线性 映射 e:G1 XG 一 Gs 的 描述 。k 用 来 确定 
g 的 大 小 ,例如 可 以 取 g 为 k 比特 长 。 

(1) 初始 化 。 给 定安 全 参数 AEZ+ ,算法 运行 如 下 : 

中 输入 & 后 运行 ,产生 素数 g, 两 个 阶 为 g 的 群 G,G; ,一 个 双 线 性 映射 e:C XG 一 
Gs。 选 择 一 个 随机 生成 元 PE Gi。 

@ 随机 选取 一 个 ;SEZs ,确定 Pu 一 sP。 

@ 选取 一 个 散 列 函 数 有 Hi:{0,1})* 一 G? 。 对 某 个 ,再 选 一 个 散 列 函 数 H; :Gs 一 {0， 
1)"。( 这 里 为 了 能 够 证 明 方 案 的 安全 性 .需要 把 Hi., Hi 视 为 随机 预言 模型 (random 
oracle model) 。 随 机 预言 模型 具有 一 个 性 质 : 对 任 一 输入 ,其 输出 的 概率 分 布 与 均匀 分 
布 在 计算 上 是 不 可 区 分 的 。) 

消息 空间 为 M== {0,1)", 密 文 空间 为 C= 二 G? X {0,1)”"。 系 统 参数 为 param(g,Gi， 
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Gs,esn,Ppww，Hi,H;:) 是 公开 的 。s 为 主 密 钥 ,是 保密 的 。 


(2) 加 密 。 用 接收 方 的 身份 ID 作为 公 和 钥 加 密 消息 mE M, 有 3 步 : 

@ 计 算 Qp=Hi(D)EG?。 

@ 选择 一 个 随机 数 rEZ， 。 

@ 确定 密 文 c==(rP,m 竖 H;(gip)) ,这 里 Sm 一 e(Qnp ,Pps) EG ,中 是 异 或 运算 。 

(3) 密 钥 产生 。 对 于 一 个 给 定 的 比特 串 IDE {0,1)* ,首先 计算 Qo= Hi (ID) EG7 ， 
然后 确定 秘密 密 钥 dm 一 *Qn ,其 中 * 为 主 密 钥 。 

(4) 解密 。 设 密 文 为 c 一 (U,V)EC, 用 秘密 密 钥 dw 计算 VOH;(e(dwm,U)) 二 m。 

解密 成 功 是 因为 e(dnp ,U) 一 e(sQnp,rP) 一 e(Qnp ,P)7 一 ce(Qnp ,Po) "一 gp。 

思考 14.2 ”Boneh-Franklin IBE 的 设计 机 理 什么 ? 

很 明显 ,该 加 密 构造 的 思想 与 ElIGamal 加 密 是 一 样 的 。sgi 是 实质 上 的 临时 共享 加 密 
密 钥 ,相当 于 ElGamal 中 的 y ,rP 是 构造 共享 加 密 密 钥 的 一 个 “种 子 ”, 相 当 于 ElGamal 
加 密 中 的 g"。 接 收 者 利用 自己 的 私 钥 和 收 到 的 “种 子 ?rP, 通 过 e(dn ,rP) 一 gp 构造 了 临 
时 的 共享 加 密 密 钥 gm 。 


14.2 基于 身份 的 密 钥 共享 体制 


1421 SOK 密 钥 共 享 体制 


利用 配对 的 良好 结构 ,自然 可 以 像 DH 方法 那样 构造 密 钥 共享 体制 。2000 年 Sakai、 
Ohgishi 及 Kasahara 提出 了 基于 身份 的 密 钥 共享 体制 (SOK 密 钥 共享 体制 ) , 像 基 于 身份 
的 加 密 一 样 , 需 要 一 个 可 信 的 权威 机 构 (KGC) 来 建立 系统 参数 。 

1. SOK 密 钥 共享 体制 描述 

SOK 密 钥 共享 体制 由 下 列 3 部 分 组 成 : 

(1) 系统 参数 建立 : 由 KGC 完成 .产生 整个 系统 的 参数 及 主 密 钥 (mk) 。 

(2) 用 户 密 钥 生成 : 由 KGC 完成 ,利用 主 密 钥 及 用 户 传输 的 任意 比特 串 ID ,产生 对 
应 的 用 户 的 私 钥 。 

(3) 密 钥 共享 体制 : 用 户 完 成 。 这 一 步骤 由 两 个 终端 用 户 以 非 交 互 式 方式 完成 。 对 
每 个 终端 用 户 , 用 自己 的 私 钥 以 及 预定 的 另 一 通信 方 的 公 钥 (ID) 产 生 这 两 个 终端 用 户 的 
共享 密 钥 。 

下 面具 体 描述 这 3 个 部 分 的 实现 步骤: 

(1) 系统 参数 建立 。 

建立 两 个 阶 为 p 的 群 (Gi ,十 ) 与 (Gs,*), 以 及 改进 的 Weil 配对 : 

e:G1 XG 一 Gs。 任 选 Gi 的 一 个 生成 元 PEG,。 随 机 选取 s:1 三 ;过 p 一 1, 并 置 Po 一 SP 
(s 为 主 密 钥 )。 选 择 一 个 密码 意义 上 的 单 向 散 列 函 数 h:10,1)" 一 G1( 该 散 列 函 数 用 于 将 
用 户 的 ID 映射 成 G, 中 的 元 素 )。TA 将 系统 参数 (Gi ,Gs,e,P,Pow.h) 公 开 , 而 秘密 保存 
主 密 钥 d 为 系统 私 钥 。 

(2) 用 户 密 钥 生成 。 


Ne/ 数字 签名 与 安全 协议 


设 IDa 表示 用 户 Alice 的 唯一 可 识别 的 身份 。 且 假定 IDs 包含 足够 多 的 信息 使 得 本 
系统 中 任何 其 他 用 户 均 不 可 能 也 以 ID 作为 其 身份 。 计 算 Pm, 一 ACIDA),Pm 作 为 Alice 
的 基于 身份 IDA 的 公 钥 。 计 算 sPw, 并 置 Alice 的 私 钥 为 dm, 一 *Pm、。 

(3) 共享 密 钥 生 成 。 

对 用 户 Alice 与 Bob,IDA 与 IDs 分 别 表示 他 们 互相 已 知 的 身份 信息 。 因 而 Pm, 与 
Pm, 就 是 分 别 表 示 他 们 的 互相 已 知 的 公 钥 。 且 假定 ID 包含 足够 多 的 信息 使 得 本 系统 中 
任何 两 个 用 户 有 不 同 的 ID 作为 其 身份 。 

Alice 通过 计算 Kns 一 e(dip,， Pi, ) 得 到 一 个 共享 密 钥 Kas€ Cs 。 

Bob 通过 计算 天 BA 一 eCdms » Pm, ) 得 到 一 个 共享 密 钥 Kea € G,。 

Kap 与 Kes 是 相等 的 : 这 是 因为 

Kas = el(dw, ,Pws) = e(sPw, Pw) 一 e(Pw, ,Po,)’ 
Kss = el(dis ,Pi ) = e(Pm, SP) 一 eCPn， ,Pp 

由 ee 的 对 称 性 可 知 Kas 二 Kss。 从 该 体制 可 看 出 ,Alice 与 Bob 没有 进行 交互 通信 就 
获得 了 一 个 共享 密 钥 Kas。 有 时 候 也 称 为 非 交 互 式 密 钥 共享 (non-interactive key 
agreement)。 这 也 就 是 基于 身份 的 公 钥 体制 也 被 称 为 非 交 互 公 钥 体制 (non-interactive 
public key cryptography) 的 原因 。 

同时 ,容易 思考 到 ,这 一 方式 与 DH 密 钥 交 换 的 基本 思想 十 分 类 似 。 

2. 安全 性 讨论 

系统 主 密 钥 ; 的 安全 性 由 求解 群 G,， 上 的 离散 对 数 问题 的 困难 性 保证 。 这 是 因为 
非 TA 者 要 想 知道 ;, 就 必须 求解 群 G， 上 的 离散 对 数 问题 ,已 知己 与 Po, 求 * 使 得 
P =sP。 

Alice 的 私 钥 dp 的 安全 性 是 群 C 上 的 CDH 问题 的 困难 性 保证 。 这 是 因为 : 由 
Pr EG 知 Pm, 可 由 P 生成 ,于 是 存在 正 整 数 a(0 二 a 三 p 一 1) 使 Pw 二 aP, 从 而 

do; = sPin, =:s(aP) = (wm)P 

这 表明 ,已 知 sP( 即 Pow) 及 aP( 即 Pp ), 要 找 din, , 即 需 计 算 (sa)P。 这 显然 是 一 个 
CDH 问题 。 

如 果 除 Alice、Bob 及 TA 外 的 任何 攻击 者 想 要 通过 公开 信息 (P,Pm、, Pip, ,Ppw ) 获 
取 Kas;, 则 他 必须 解 一 个 本 质 上 为 椭圆 曲线 上 的 CDH 问题 。 因 此 ,SOK 密 钥 共享 体制 在 
CDH 问题 困难 性 的 假定 下 是 安全 的 。 


1422 基于 配对 的 三 方 DH 密 钥 协商 协议 


将 14. 2. 1 节 的 方案 进一步 扩展 ,思考 一 个 问题 : 如 何 建 立 三 方 同 享 的 通信 密 钥 ? 

2000 年 A. Joux 利用 配对 技术 设计 出 了 一 种 非常 简单 的 三 方 密 钥 协议 。Joux 称 该 
协议 为 “三 方 Diffie-Hellman” 协 议 。2003 年 Wenbo Mao 利用 经 修改 的 Weil 配对 e 简化 
了 Joux 的 协议 。 称 简化 后 的 协议 为 Joux-Mao 三 方 Diffie-Hellman 协议 。 

Joux-Mao 三 方 Diffie-Hellman 协议 描述 如 下 。 设 Alice、Bob 及 Charlie 要 建立 他 们 
之 间 的 一 个 共享 密 钥 。 实 现 步 又 如 下 : 

(1) 公开 参数 建立 : 某 有 限 域 F, 上 的 一 条 超 奇 异 椭圆 曲线 EE(E,);p 是 一 个 素数 ,p| 
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##E(E,);l 是 正 整 数 ;e 是 E(Fy) 上 的 经 变形 映射 修改 的 Weil 配对 ;已 是 巨 CFw ) 中 阶 为 
Zp 的 点 ,G1 是 由 PP 生成 的 p 阶 子 群 。 

(2) 各 方 密 钥 建立 : Alice、Bob 及 Charlie 分 别 秘密 选择 大 于 1 小 于 zp 的 整数 a bc 
作为 各 自 的 私 钥 ,并 各 自 计算 自己 的 公 钥 

P\=aP, Ps=6P, Pe= cP 

(3) 三 方 互相 交换 他 们 的 公 钥 , 即 在 公共 信道 上 公布 他 们 各 自 的 公 钥 。 

(4) 计算 三 方 的 共享 密 钥 : Alice、Bob 及 Charlie 各 自 计 算 e(Ps,Pc)*、e(Pc,PaA)* 及 
0 ey 

因为 


e(Pe,Pc) = e(Pe, Ps) = eC(Pa ,Ps)' = el(P,P)* 
所 以 Alice、Bob 及 Charlie 建立 了 他 们 的 共享 密 钥 eC(P,P) 。 
由 于 该 三 方 Diffie-Hellman 协议 与 原 两 方 Diffie-Hellman 密 钥 协商 协议 一 样 没有 进 
行 身份 认证 ,所 以 易 受 到 中 间 人 的 攻击 。 


14.3 基于 身份 的 签名 


基于 身份 的 签名 (Identity-Based Signature,IBS) 可 以 通过 双 线 性 对 构造 ,如 Cha- 
Cheon IBS; 也 可 以 不 通过 双 线 性 对 构造 ,如 Shamir IBS。 基 于 公 钥 证 书 的 签名 体制 与 基 
于 身份 的 签名 体制 区 别 在 图 14. 3 中 给 出 。 


i 人 法 /非法 
消息 m 营 名 产生 信道 | 签名 验证 合法 /非法 
m,s,ID 
sk pk 

窗 角 产生 | 
机 各 | 
(a) 基于 公 钥 证 书 的 签名 体制 
息 合法 /非法 
省 是 "| 等 有 产生 道 。 | 
m,s,ID 
«| pk=ID 
密 钥 产生 
随机 种 子 r | To 


(b) 基于 身份 签名 体制 
图 14.3 两 种 签名 体制 的 区 别 


431 Shamir 基 于 身份 的 签名 
Shamir 提出 的 基于 身份 (ID) 的 数字 签名 体制 由 下 列 4 个 步骤 组 成 : 
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(1) 参数 建立 (setup): 由 KGC 完成 。 产 生 系 统 参数 及 主 密 钥 (mk)。 
(2) 用 户 私 钥 生 成 (user key generation): 由 KGC 完成 。 利 用 mk 及 用 户 传 输 的 任 


意 比特 串 ID ,产生 的 该 ID 用 户 的 私 钥 dp、。 


(3) 签名 (sign) : 由 签名 者 完成 。 对 输入 的 信息 mm, 用 签名 者 的 私 钥 dm 对 信息 m 进 


行 签名 得 到 ;。 


(4) 验证 (verify) :由 验证 者 完成 。 对 输入 的 信息 m 及 相应 的 签名 s ,利用 ID 验证 签 


名 的 真实 性 。 
图 14.4 给 出 了 基于 身份 的 签名 的 示意 图 。 
6G 系统 参数 
IDA 
” | 
dm mlls True/False 
一 | 签名 一 | 验证 一 
A B 


图 14.4 基于 身份 的 数字 签名 产生 和 验证 


Shamir 的 基于 身份 的 数字 签名 体制 的 算法 描述 如 下 : 

(1) 系统 参数 建立 。 

N: 秘密 选择 两 个 大 素数 p,qg, 计 算 其 积 N= pq。 

e: 选择 正 整数 e 满足 gcd(e,$(N)) 二 1( 这 里 (N,e) 为 系统 中 用 户 使 用 的 公开 参数 ) 。 
d: 计算 出 满足 条 件 ed 二 1(mod $(N)) 的 正 整 数 d(d 为 KGC 的 主 密 钥 )。 

h: {0,1 和 一 Z yw (h 是 一 个 密码 学 意义 上 的 单 向 散 列 函数 )。 

KGC 保存 d 作为 系统 的 私 钥 , 即 主 密 钥 ,而 公开 系统 参数 为 (N ,e,h)。 

(2) 用 户 私 钥 的 生成 。 

设 ID 表示 用 户 Alice 的 唯一 可 识别 的 身份 。 在 对 Alice 完成 了 物理 意义 上 的 身份 识 


别 并 确定 了 ID 的 唯一 性 后 ,KGC 计算 


g = ID’(mod N) 


将 计算 结果 值 作为 Alice 的 私 钥 发 给 Alice。 


Dh 


(3) 签名 生成 。 
设 Alice 要 对 信息 mE {0,1}“ 进行 签名 。Alice 随机 选择 一 个 数 -EZ ,并 计算 
t=r (mod N) 
s=ge Hm (mod N) 
数 对 (s, 四 ) 就 是 Alice 生成 的 签名 。 
(4) 签名 验证 。 
设 有 信息 mr 及 其 签名 (s,t)。Bob 利用 Alice 的 身份 ID 验证 她 的 签名 。 如 果 一 
ic (mod N), 则 m 的 签名 (s, 四 为 真 。 
Shamir 的 基于 身份 的 签名 算法 是 根据 RSA 签名 来 构造 的 ,由 此 可 以 看 出 ,在 Bob 验 


证 Alice 的 签名 时 ,只 需要 经 TA 核实 的 ID。 而 在 基于 公 钥 证 书 基础 设施 的 签名 算法 中 ， 
Bob 在 验证 Alice 的 签名 前 ,必须 先 获得 Alice 的 公 钥 证 书 , 并 验证 Alice 的 公 钥 证 书 。 这 
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一 优点 使 得 在 基于 身份 的 数字 签名 体制 中 ,签名 者 不 需要 将 公 钥 证 书 传输 给 验证 者 ,这 样 
可 节省 通信 带宽 。 

观察 签名 验证 方程 : $= 二 ID。，wI”(mod N)。 当 Bob 验证 Alice 的 签名 时 ,表明 
Alice 拥有 ID . ww 及 其 模 NN 的 唯一 e 次 根 ,也 就 是 s。 这 个 唯一 性 是 由 gcd(e,$(N))=1 
保证 的 。 

任何 人 要 构造 ID . wi” 并 不 困难 。 例 如 ,可 以 选 一 个 随机 数 1, 计 算 h(t m), 再 计 
算 ww (mod N) ,最 后 乘 以 ID 即 可 。 但 是 , 想 求 出 与 该 值 对 应 的 模 N 的 唯一 的 e 次 根 
是 很 困难 的 ,等 同 于 已 知 a 求 方 程 x“==a(mod N) 的 解 xz, 即 等 同 于 求解 RSA 问题 ;另外 ， 
帘 扰 者 想 修改 1, 即 找 出 两 个 不 同 的 1 与 4 使 Dim=ID。H%1" 或 1w== 吉 1 
是 困难 的 。 
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Cha-Cheon 方案 的 构造 与 Shamir 基于 身份 的 签名 十 分 相似 ,区 别 是 使 用 了 双 线 性 映 
射 。 实 现 步骤 如 下 : 

(1) 系统 参数 建立 。 

给 定安 全 参数 AEZ + ,由 输入 的 & 值 生成 一 个 素数 g, 两 个 g 阶 群 G1,Gs ,一 个 可 接 
受 的 双 线 性 映射 e:G1 XG 一 Cs 。 随 机 选择 生成 元 PEG),。 取 随机 数 ;SE Zs 为 主 密 钥 , 令 
Pu 一 sP。 选 择 两 个 密码 学 散 列 函数 Hi:{0,1)" 一 G? 和 日 ,:{0,1)" XG? 一 Z; 。 系 统 
参数 为 param 二 (gq,G1 ,Gs ,e,P,Ppw，H1i,H;), 主 密 钥 为 EZ 。 

(2) 用 户 私 钥 生 成 。 

给 定 串 IDE {0,1}" ,KGC 计算 Qiw 二 Hi(ID) ,计算 私 钥 dp 一 sQm ,这 里 ;为 主 密 钥 。 

(3) 签名 生成 。 

给 定 私 钥 dp 和 消息 闷 , 选 取 随机 数 r*EZ， ,计算 U=rQw,h==H,(m,U),V=(r 十 h) 
cdm ,输出 签名 (UV) 。 

(4) 签名 验证 。 

对 于 给 定 的 身份 ID, 消 息 m 的 签名 为 (U.V) ,验证 eC(P,V)=e(CP,,U 十 AQm) 是 否 
成 立 ,这 里 h= Hs(m,U)。 

容易 验证 正确 性 : 

e(Pow rsU + hQw)= elsP ,UhQp) = e(P,sU + shQD) = el(P,srQo + RQD) 

= e(P,(r+h)dw) = e(P,V) 

容易 发 现 , 该 签名 机 制 的 构造 思想 以 及 Shamir 基于 身份 的 签名 和 ElGamal 签名 是 
一 样 的 ,即使 用 * 承 诺 一 挑战 一 应 答 ” 机 制 构造 签名 ,三 者 的 比较 见 表 14. 1 。 

显然 ,类 似 于 基于 身份 的 加 密 一 样 的 问题 (KGC 可 以 解密 任何 一 个 用 户 的 密 文 )， 
签名 方案 中 KGC 可 以 伪造 任何 一 个 用 户 的 签名 。 因 此 ,基于 身份 的 数字 签名 体制 不 
适合 在 一 个 公开 的 系统 环境 中 应 用 。 换 句 话说 ,该 签名 体制 较 适 合 在 一 个 封闭 的 、 
KGC 对 整个 系统 中 的 信息 具有 法 律 上 的 所 有 权 的 系统 中 使 用 。 这 是 一 个 非常 苛刻 的 
应 用 环境 。 
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表 14.1 三 种 签名 方案 的 比较 


签名 方程 
签名 方案 。 | (机 所 四 构造 私 负 ) 承诺 i 
ei 基于 身份 g=ID’: (mod N) t=r (mod N) s=g * pm (mod N) 
ee dp=sQp U=rQw h=H; (miU),V= (r+ dw 
ElGamal 签名 yy 一生 modp 7r 一 入 modp 5s 一 (hz 一 Zr mod ( 力 一 1) 


14.4 基于 身份 的 身份 识别 协议 


首先 给 出 基于 身份 的 身份 识别 (Identity-Based Identification,IBD 协 议 的 一 般 概念 。 

基于 身份 的 身份 识别 协议 IBI= (Setup,Extract,P,V) 由 4 个 概率 多 项 式 时 间 的 算 
法 组 成 : 系统 初始 化 算法 Setup , 私 钥 提取 算法 Extract ,两 个 交互 式 的 算法 一 一 证 明 算法 
P 和 验证 算法 V。 

(1) 系 统 初 始 化 算法 (Setup) , 密 钥 生成 器 KGC 根据 系统 的 安全 参数 & 生成 系统 参数 
param 和 主 密 钥 mk ,将 系统 参数 param 公开 , 主 密 钥 由 KGC 秘密 保存 。 

(2) 私 钥 提取 算法 (Extract) ,给 定 一 个 用 户 的 公开 身份 ID,KGC 利用 param .mk 计 
算 该 用 户 的 私 钥 4d ,将 d 安全 地 发 送 给 该 用 户 。 

(3) 识别 协议 : 交互 式 算法 P 和 V, 其 中 证 明 算法 P 的 输入 为 (param,ID,d) ,验证 
算法 V 的 输入 为 (param,ID) ,经 过 交互 后 ,V 的 输出 为 或 F。 
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身份 识别 协议 中 需要 用 到 权威 机 构 将 公 钥 和 身份 进行 绑 定 , 即 提供 公 钥 证 书 , 如 果 采 
用 身份 作为 公 钥 , 则 不 需要 公 钥 证 书 。 下 面 介绍 一 个 基于 身份 的 身份 识别 协议 一 
Guillou-Quisquater 的 基于 身份 的 身份 识别 协议 。 该 协议 是 从 原来 的 Guillou-Quisquater 
协议 转化 而 来 的 。 

当前 的 协议 中 直接 使 用 IDA 作为 公 钥 ,将 TA 的 证 书 发 送 给 B 改 为 将 IDA 发 送 给 B。 
验证 方程 使 用 公 钥 ID ,而 不 是 原来 的 公 钥 v。 

Guillou-Quisquater 的 基于 身份 的 身份 识别 协议 实现 步骤 如 下 : 

(1) 参数 设置 。 

由 所 有 方 都 信任 的 权威 机 构 TA 将 身份 和 公 钥 绑 定 ,并 随机 选择 类 似 RSA 的 素数 p 
和 9g ,产生 一 个 模 数 n 一 pg。TA 定义 一 个 公 钥 5 三 3, 满 足 gcd(5,$(n)) 二 1, 其 中 $(n) 二 
(Pp 一 1)(g 一 1) ,并 计算 它 的 私 钥 a 二 5 ! mod $(n)。 使 所 有 用 户 都 获得 系统 参数 (45,n)。 

(2) 私 钥 提取 。 

每 个 实体 A 给 定 唯一 的 身份 IDa(1 二 IDs 二 n) ,IDA 中 包含 了 用 户 A 的 身份 信息 ,如 
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名 字 、 电 话 号 码 等 。TA 给 A 秘密 分 发 u=((IDa) ')* mod n。 
(3) 协议 消息 。 
t 轮 协议 中 的 每 轮 有 如 下 3 条 消息 (通常 :二 1)。 
A—B: IDA,z 王 性 mod7m 
AB:ell<e<b) 
A—>B:y= ru modn 
(4) 协议 执行 过 程 如 下 : 
Q@ A 选择 随机 秘密 r( 承 诺 ) ,1 三 r 三 n 一 1, 计 算 ( 证 据 )z==* mod n。 
@ A 发 送 给 BB 整数 对 (IDa ,zx)。 
@ B 选择 一 个 随机 整数 e( 挑 战 ) ,1 三 e<6, 发 送 给 A。 
@ A 计算 响应 y==ru' mod n, 发 送 给 B。 
@@ B 接收 y, 计 算 并 判断 zx 三 IDhy* mod n 是 否 成 立 。 
完备 性 分 析 : 如 果 确 实 知道 秘密 信息 sa , 则 可 以 对 任意 挑战 计算 响应 。 易 知 
IDs » y* mod n= IDa(ru’)* mod n= (IDau)'r* modn= rmodn=7x 
合理 性 分 析 : 如 果 伪 装 成 A 的 攻击 者 能 猜 出 B 的 挑战 。, 则 在 提交 z 时 先 选 定 y ,并 
取 Zz=IDh，y mod n, 其 后 在 响应 消息 中 发 送 选 定 的 y, 则 会 满足 验证 方程 。 这 种 假冒 成 
功 的 概率 为 猜 中 e 的 概率 , 即 1/5。 
表 14. 2 给 出 了 两 种 协议 的 比较 ,便于 体会 两 者 的 区 别 。 


表 14.2 基于 证 书 的 和 基于 身份 的 Guillou-Quisquater 身份 识别 协议 的 对 比 


协 议 参数 设置 协议 消息 协议 验证 
TA 公 钥 : 5 A—>B: ID, ,z= mod n 

基于 身份 | TA 私 钥 : a=b7! mod $ A<*B: e(l<e<b) Zz 三 IDMy’ mod n 
证 明 者 私 钥 : u=((IDsA)7')* modn | A>B: y=ru modn 
TA 公 钥 : 5 A—>B: CertA ,z= mod n 

基于 证 书 | 证 明 者 私 钥 : u A<B: e(l<e<b—1) 二 UVy mod n 
证 明 者 公 钥 : v= (wu ')* mod n A 一 B: y=ru mod 7 


从 表 14. 2 可 知 身份 验证 成 立 的 原因 是 : IDaw* 二 1 mod ns,vu’ 二 1 mod n。 
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Cha-Cheon 的 基于 身份 的 身份 识别 协议 与 Cha-Cheon 基于 身份 的 签名 十 分 类 似 。 
实现 步骤 如 下 : 

(1) 参数 设置 。 

令 g 是 一 个 大 素数 ,G 为 g 阶 群 ,其 上 的 DDH 是 困难 的 , 设 己 是 群 G 的 生成 元 ,选取 
随机 数 *EZ。, 计 算 Po 二 sP。 两 个 散 列 函数 Hi:{10,1})* XG 了 >Z,,Hs:40,1}* 一 G,e 为 
G 上 的 双 线 性 配对 。 系 统 参数 为 param 二 {G,P,Ppw ,Hi ,Hs,e) , 主 密 钥 为 ;。 

(2) 私 钥 提 取 算 法 。 

给 定 一 个 用 户 的 身份 DD, 计算 公 和 钥 Qw 王 日; (ID) , 私 钥 为 dm 一 sQn。 
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(3) 协议 消息 。 
t 轮 协议 中 的 每 轮 有 如 下 3 条 消息 (通常 :一 1) 。 
P—V: IDs,U = rQw 
VP:c€EZ, 
P—>V:V= (r+oOdp 
(4) 交互 协议 如 下 : 
QP 任 选 rE2Z,, 计 算 U=rQw, 将 U 发 送 给 V。 
@V 任 选 cE2Z,, 发 送 给 P。 
Q@P 计 算 V=(r 十 c)dm ,发送 给 V。 
图 V 验 证 eCP,V)=eCP,U 十 cQo) 是 否 成 立 。 
思考 14.3 ”比较 Cha-Cheon 签名 方案 和 Cha-Cheon 基于 身份 的 身份 识别 协议 。 
表 14. 3 给 出 Cha-Cheon 签名 方案 和 Cha-Cheon 基于 身份 的 身份 识别 协议 之 间 的 
比较 。 


表 14.3 Cha-Cheon 签名 和 Cha-Cheon 基于 身份 的 身份 识别 协议 的 对 比 


方 案 Cha-Cheon 签名 Cha-Cheon 基于 身份 的 身份 识别 协议 
Pw=sP 
Pow =sP 
Ss eo 
H2:{0,1}’ XG? >2° ER a 
系统 参数 ld Whe Hi:{0,1)* ~»G 
param= (g, Gi, G»»,e, P, Py», Hi, 
param= {G,P, Py » Hi, H, ,e} 
th EZ 
SEZ， 人 
公 钥 Qnp== Hi (ID) 公 钥 Qn 一 五:(ID) 
用 户 密 钥 > 
私 钥 dp 二;Qwp 私 钥 dp 一 YQm 
U=rQn PV: ID ,U=rQp 
i h= Hm U,V= (r+ do VeoP: cEZ, 
“ 输出 签名 (U,V) PV:V=(r+toOdp 
签名 验证 e(P,V)=e(Poa UhQD) e(P,V)=e(Prw rU+cQw) 


容易 看 到 ,签名 中 的 挑战 是 使 用 散 列 函数 生成 的 = 理 ; (m,U0) ,而 协议 中 的 挑战 c 是 
验证 者 选取 的 ,这 便 是 交互 零 知 识 证明 转 化 为 非 交互 零 知 识 证 明 的 FS 启发 式 方法 。 

思考 14.4 ”基于 身份 的 密码 系统 与 基于 PKI 的 密码 系统 的 比较 。 

最 后 简单 总 结 基于 身份 的 密码 系统 与 基于 PKI 的 密码 系统 的 比较 。 两 者 都 是 非 对 


称 密码 学 ,主要 的 不 同 在 于 密 钥 的 管理 。 基 于 身份 的 密码 学 最 开始 时 为 了 避免 使 用 数字 
证 书 而 提出 的 。 

(1) 基于 身份 的 密码 系统 天 生 具 有 密 钥 托管 (key escrow) 问 题 ,而 基于 PKI 的 密码 
系统 可 以 不 存在 该 问题 。 

(2) 基于 身份 的 密码 系统 存在 私 钥 泄 露 ,不 容易 撤销 私 钥 (key revocation and key 
rollover) 。 而 基于 PKI 的 密码 系统 中 ,可 以 使 用 CRL(Certificate Revocation List, 证 书 
撤销 列表 ) 方 便 地 进行 公 钥 证 书 的 撤销 。 例 如 基于 身份 的 密码 系统 不 能 向 基于 PKI 的 密 
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码 系统 那样 生成 新 的 密 钥 对 ,因为 不 能 总 是 改变 用 户 的 身份 ,如 果 在 ID 上 加 上 一 些 日 期 
等 信息 ,日 期 的 跨度 又 不 太 容易 选择 。 如 果 跨 度 太 大 ,用 户 更 改 密 钥 需要 等 待 太 久 ;如 果 
跨度 太 小 ,会 导致 KGC 工作 负担 过 重 。 

(3) 基于 身份 的 密码 系统 在 密 钥 分 发 (key distribution) 时 比 基 于 PKI 的 密码 系统 要 
简单 。 公 钥 从 用 户 身 份 产生 ,获得 一 个 人 的 公 钥 进行 加 密 和 签名 变 得 简单 。 基 于 PKI 的 
密码 系统 则 需要 查看 对 方 的 公 钥 证 书 , 验 证 CA 的 签名 并 且 检 查证 书 的 有 效 期 。 

(4) 主 密 钥 安全 性 。 基 于 ID 的 密码 系统 中 ,攻击 者 如 果 得 到 KGC 的 主 密 钥 , 就 能 生 
成 所 有 私 钥 , 于 是 可 以 阅读 所 有 消息 和 伪造 任何 签名 。 在 基于 PKI 的 密码 系统 中 ,CA 的 
私 钥 泄露 后 ,攻击 者 就 以 CA 的 名 义 伪造 公 钥 的 证 书 , 然 后 欺骗 其 他 用 户 。 然 后 ,攻击 者 
不 能 恢复 此 前 生成 的 私 钥 , 所 以 只 能 影响 系统 未 来 的 安全 。 

(5) 基于 身份 的 密码 系统 在 注册 时 需要 KGC 传递 私 钥 给 用 户 ,因而 需要 一 个 保证 机 
密 性 和 认证 性 的 安全 信道 。 
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15.1 可 证 明 安 全 概述 


1511 可 证 明 安 全 的 概念 


早期 的 方案 设计 在 长 时 间 没有 找到 安全 缺陷 的 基础 上 被 认为 是 安全 的 ,因此 往往 陷 
和 人 发现 缺 陷 、 修 补 ,再 发 现 缺 陷 、 修 补 的 恶性 循环 。 为 改变 这 种 状况 ,近年 来 ,提出 了 可 证 
明 安全 的 思想 ,可 证 明 安全 性 成 为 密码 体制 安全 性 的 重要 理论 标准 。 

可 证 明 安全 理论 包括 可 证 明 安 全 公 钥 加 密 、 可 证 明 安 全 签名 和 可 证 明 安全 协议 。 该 
思想 也 可 应 用 到 可 证 明 安全 的 伪 随 机 密 钥 发 生 器 、 可 证 明 安 全 的 对 称 密 钥 加 密 模式 和 可 
证 明 安全 的 消息 鉴别 码 。 

可 证 明 安 全 的 研究 主要 依靠 两 种 方法 : 一 种 是 基于 计算 复杂 性 的 方法 , 另 一 种 是 基 
于 形式 化 的 方法 。 后 者 主要 用 于 可 证 明 安 全 协议 的 研究 。 基 于 计算 复杂 性 的 方法 是 可 证 
明 安 全 公 钥 加 密 和 签名 的 基本 方法 。 依 据 计 算 复 杂 性 理论 中 的 “ 归 约 "思想 ,可 证 明 安 全 
试图 建立 密码 学 方案 与 安全 假设 或 困难 问题 之 间 的 联系 ,从 而 将 方案 的 安全 性 建立 在 一 
个 公认 的 “前 提 基 础 "之 上 。 

具体 而 言 , 可 证 明 安 全 是 指 方案 的 安全 性 可 以 被 “证 明 ”, 这 种 证明” 用 到 了 反 证 法 和 
归 约 的 思想 。 即 车 可 以 攻破 该 方案 的 安全 性 , 则 导致 攻破 某 个 被 证 明 是 安全 的 或 是 被 广 
泛 认 为 是 计算 上 困难 的 安全 假设 ,密码 学 原 语 、 数 论 中 的 困难 问题 或 一 个 NPC 问题 的 推 
翻 ;但 是 ,通常 公认 为 这 些 安全 假设 、 原 语 是 成 立 的 或 问题 是 困难 的 ,因此 原 设 错误 , 即 不 
可 攻破 。 从 这 一 意义 上 讲 , 可 “证 明 安全 ”其 实 就 是 可 “ 归 约 ”到 某 个 困难 问题 的 假设 ,因此 
称 为 可 “ 归 约 安全 ”可 能 更 准确 。 

可 证 明 安全 的 意义 在 于 将 安全 性 建立 在 一 个 公认 的 假设 基础 之 上 ,至 少 可 以 排除 一 
些 设计 上 的 缺陷 ,将 安全 性 集中 到 安全 假设 之 上 ,这 比 起 没有 基于 经 验 和 启发 式 的 安全 感 
觉 要 严格 得 多 ,同时 ,也 为 密码 体制 的 设计 提供 了 一 定 的 启发 式 思路 。 

可 证 明 安全 性 包含 3 个 元 素 , 即 安全 性 定义 ,安全 性 所 基于 的 密码 学 原 语 或 假设 , 归 
约 证 明 。 安 全 性 定义 要 首先 明确 安全 的 目标 ,抵抗 何 种 攻击 ;其 次 需要 明确 安全 性 所 给 予 
的 密码 学 原 语 和 假设 ;最 后 ,通过 归 约 ,将 一 个 反 命题 归 约 到 一 个 明显 的 矛盾 (如 某 个 数论 
困难 问题 的 解决 等 ) 。 

目前 的 可 证 明 安 全 加 密 和 签名 方案 可 以 分 为 两 大 类 : 一 类 是 在 随机 预言 (random 
oracle) 模 型 中 能 证 明 其 安全 性 , 另 一 类 是 在 标准 模型 中 能 证 明 其 安全 性 。 在 随机 预言 模 
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型 中 ,将 密码 学 散 列 函 数 视 为 是 理想 的 , 即 当 用 定义 域内 某 个 数 问 询 该 散 列 函 数 时 ,从 值 
域内 随机 选取 一 个 值 作为 应 答 ; 若 使 用 相同 的 数 问 询 , 则 使 用 值 域 中 相同 值 进行 应 答 。 使 
用 不 同 值 进 行 问 询 时 ,应 答应 是 完全 独立 的 。 使 用 随机 预言 模型 证 明 是 安全 的 方案 , 当 随 
机 预言 模型 被 实际 中 的 散 列 函数 蔡 换 后 ,方案 不 一 定 是 安全 的 。 但 通过 这 个 模型 证 明 是 
安全 的 方案 比 那些 尚未 证 明 的 方案 更 让 人 放心 ,起 码 说 明 方 案 的 其 他 部 分 没有 安全 隐患 。 
实践 中 的 大 多 数 可 证 明 方 案 都 只 能 在 随机 语言 模型 中 进行 证 明 , 且 在 这 种 模型 中 被 证 明 
的 方案 的 效率 往往 比 使 用 标准 模型 的 方案 要 高 。 标 准 模 型 是 指 不 假设 散 列 函 数 是 理想 
的 ,而 采用 一 些 标准 的 数论 假设 ,如 假设 因子 分 解 时 困难 的 ,或 离散 对 数 的 计算 是 困难 的 。 
因而 标准 模型 中 的 安全 性 证 明 更 加 令 人 信服 。 但 目前 的 研究 表明 ,在 标准 模型 中 的 可 证 
明 安 全 方案 一 般 比 基于 随机 预言 模型 的 方案 要 效率 低 。 


全 12 可 证 明 安 全 的 基本 思路 


通常 一 个 密码 学 方案 的 设计 有 如 下 几 步 : 

(1) 从 现实 的 安全 需求 中 抽象 出 需要 解决 的 密码 问题 的 模型 。 

(2) 深入 分 析 攻 击 者 的 能 力 和 可 能 的 攻击 目标 ,应 用 逻辑 合理 的 定义 模式 定义 安 
全 性 。 

(3) 提出 新 的 密码 学 原 语 ,或 基于 现 有 的 密码 学 原 语 来 解决 问题 模型 的 通用 构造 
方法 。 

(4) 采用 具体 的 数学 结构 或 安全 性 假设 给 出 一 个 通用 方案 的 实例 。 

(5) 通过 可 证 明 安全 的 方法 进行 安全 证 明 。 

通常 ,一 个 安全 性 证 明 需 要 的 步骤 如 下 : 

(1) 描述 一 个 密码 系统 以 及 其 操作 模式 。 

(2) 形式 化 定义 一 个 要 达到 的 安全 定义 。 

(3) 做 精确 的 安全 假设 。 

(4) 给 出 一 个 攻破 安全 定义 的 算法 与 攻破 安全 假设 之 间 的 归 约 证 明 。 这 种 归 约 简 言 
之 是 指 , 当 以 攻破 安全 定义 的 算法 为 子 函数 时 ,可 以 构造 一 个 算法 攻破 安全 假设 。 

定义 15.1 归 约 。 给 定 两 个 问题 G 和 HH。 从 G 到 H 的 归 约 是 一 个 (+ ,e') 算 法 
SolveG, 具 有 如 下 性 质 : 

(1) 假定 存在 (1,e) 算 法 SolveH 求解 问题 H。 

(2) SolveG 可 以 调用 SolveH 并 使 用 它 的 任 一 输出 值 ,但 SolveG 不 能 对 于 SolveH 
执行 的 实际 运算 作 任 何 限定 。 

(3) 除了 访问 SolveH 以 外 ,SolveG 是 一 个 PPT 算法 。 

(4) SolveG 可 以 在 时 间 + 内 ,以 e' 的 概率 正确 求解 问题 G。 

几 点 说 明 : 

(1) t=t 十 f(q,k),e 一 g(e:tgR) ,其 中 ,gq 是 问 询 次 数 ,k 是 安全 参数 ,f,g 是 两 个 
分 别 与 g,k 和 e,t,q,k& 有 关 的 函数 。 

(2) 如 果 G 是 (x ,e ) 困 难 的 , 则 H 是 (1,e) 困 难 的 , 即 如 果 在 时 间 + 内 ,不 能 以 超过 e 
的 概率 求解 问题 G, 则 在 时 间 上 内 ,就 不 能 以 超过 e 的 概率 求解 问题 H。 
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(3) 在 时 间 + ~t 时 ,e 与 s 越 接近 , 归 约 越 紧 , 即 两 问题 的 难度 越 接近 。 
主要 的 计算 假设 包括 : RSA 是 单 向 的 (以 及 强 RSA 问题 是 困难 的 ); 离 散 对 数 问题 


是 困难 的 ;CDH 和 DDH 是 困难 的 ;大 整数 分 问题 的 实生 访 案 敌手 A' 
解 时 困难 的 ;寻找 最 短 格 向 量 是 困难 的 ;判定 I 的 实例 
二 次 剩余 是 困难 的 。 

规约 证 明 方法 简单 地 说 就 是 : 如 果 要 证 方案 1 的 实例 


明 方案 的 安全 性 ,采用 反 证 法 和 规约 机 制 , 即 
通过 对 方案 安全 性 的 攻破 导致 (规约 到 ) 某 个 
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困难 假设 的 不 成 立 。 图 15. 1 给 出 了 这 种 规约 。 由 着 笑 直 案 |。 和 本 
证 明 法 的 示意 图 。 | 

如 果 想 证 明 方案 下 的 安全 性 ,采取 的 办 法 
是 将 攻破 方案 下 的 敌手 视 为 一 个 子 过 程 ,输入 图 15.1 规约 证 明 的 一 般 原理 


为 方案 下 的 实例 ,输出 为 对 该 方案 的 攻破 。 这 
种 攻破 可 能 表示 不 同 的 结果 ,如 IND-CCA2 中 ,表示 可 以 输出 一 个 正确 的 猜测 比特 ,在 
EUF-CMA 中 表示 可 以 输出 一 个 正确 的 消息 签名 对 。 利 用 这 一 子 过 程 构造 一 个 新 的 过 程 
A', 该 过 程 的 输入 是 问题 的 实例 ,如 RSA 问题 ,Rabin 问题 .离散 对 数 问题 等 ,该 过 程 的 输 
出 是 对 该 问题 的 解答 。 显 然 ,这 一 解答 是 利用 子 过 程 A 的 结果 。 
如 果 想 证 明 方 案 开 ' 的 安全 性 ,采用 类 似 的 方法 ,输入 为 方案 开 ' 的 实例 ,调用 子 过 程 
A, 将 方案 下 的 实例 输入 ,返回 对 方案 下 的 攻破 ,利用 攻破 的 结果 得 到 对 方案 开 ' 的 攻破 。 
通常 为 了 规约 的 方便 ,可 以 先 固定 某 些 原 语 (组 成 部 件 ) 是 理想 的 ,这 样 可 以 排除 这 些 
原 语 外 的 构成 部 分 是 不 安全 的 这 一 情况 ,从 而 将 安全 的 焦点 集中 到 这 些 原 语 本 身 , 一 个 典 
型 的 例子 是 随机 预言 模型 。 在 随机 预言 模型 下 可 证 明 安 全 ,就 表明 除了 该 理想 模型 (理想 
假设 ) 外 ,其 余部 分 没有 设计 上 的 安全 漏洞 。 


15.2 可 证 明 安 全 数字 签名 
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1.4 节 简单 介绍 过 相关 概念 ,这 里 再 次 总 结 一 下 。 敌 手 的 拥有 的 能 力 从 低 到 高 可 以 
划分 成 以 下 几 种 : 

(1) 唯 密 钥 攻击 (Key-only Attack, KOA)。 敌 手 拥有 公 钥 以 及 签名 验证 函数 
Vrfyw() ,这 是 公 钥 系统 提供 给 敌手 的 不 可 避免 的 能 力 。 

(2) 已 知 消息 攻击 (Known Message Attack,KMA) 。 政 手 能 够 拥有 一 些 消息 和 签名 对 。 

(3) 选择 消息 攻击 (Chosen Message Attack,CMA) 。 政 手 可 以 请 求 一 系列 消息 的 签 
名 ,他 选择 消息 zi ,zz，…', 并 能 够 得 到 这 些 消息 的 签名 。 选 择 只 能 在 挑战 消息 发 出 之 前 
进行 。 

有 的 文献 将 选择 消息 攻击 进一步 划分 为 一 般 选 择 消息 攻击 和 定向 选择 消息 攻击 
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(Directed CMA)。 区 别 是 前 者 选择 消息 是 在 看 到 Alice 的 公 钥 之 前 ,独立 于 Alice 的 公 
钥 ; 后 者 是 在 看 到 Alice 的 公 钥 之 后 选择 消息 。 还 有 文献 将 选择 消息 攻击 中 的 只 能 访问 
一 次 签名 预言 机 的 情况 称 为 单 次 选择 消息 攻击 (Single Occurrence Chosen-Message 
Attacks,SO-CMA) 。 

(4) 自 适 应 选择 消息 攻击 (Adaptive Chosen Message Attack) 。 敌 手 可 以 选择 ri ,而 
且 允 许 根据 先前 的 访问 结果 进行 后 续 的 选择 (选择 可 以 在 挑战 消息 发 出 之 后 继续 ) 。 

本 书 中 选择 消息 攻击 均 指 自 适应 选择 消息 攻击 。 

敌手 的 目标 从 难 到 易 分 为 以 下 几 种 (安全 目标 和 敌手 目标 通常 相反 ) : 

(1) 完全 攻破 (total break) 。 敌 手 能 够 确定 Alice 的 私 钥 , 即 签名 函数 Signw() ,从 而 
对 任何 消息 产生 有 效 的 签名 。 从 安全 的 角度 而 言 叫 不 可 攻破 性 (Unbreakability, UB) 。 
这 是 签名 方案 的 基本 要 求 。 

(2) 完全 伪造 (universal forgeability)。 完 全 伪造 是 指 敌 手 在 不 必 拥 有 私 钥 的 情况 
下 ,可 以 生成 任何 消息 的 签名 。 从 安全 的 角度 而 言 , 抗 完全 伪造 则 称 为 完全 不 可 伪造 性 
(Universal UnForgeability, UUF)., 

(3) 选择 性 伪造 (selective forgeability)。 敌 手 以 某 一 个 不 可 忽略 的 概率 对 另外 某 个 
人 选择 的 消息 产生 一 个 有 效 的 签名 。 也 就 是 说 ,如 果 给 敌手 一 个 消息 zx, 他 能 (以 某 种 概 
率 ,该 概率 不 可 忽略 ) 决 定 签名 ,使 得 Vrfyy(m,s) 二 True, 且 该 消息 x 是 不 曾 签名 过 的 消 
息 。 从 安全 性 角度 而 言 , 则 称 之 为 选择 性 不 可 伪造 (Selective UnForgeability, SUF)。 

(4) 存在 性 伪造 (existential forgeability)。 敌 手 至 少 能 够 为 一 则 消息 产生 一 个 有 效 
的 签名 。 换 句 话 说 ,敌手 能 产生 一 个 对 (m,s) ,其 中 之 是 消息 ,而 Vrfys Cm,s) 二 True。 该 
消息 zx 是 不 曾 签名 过 的 消息 。 即 敌手 能 够 伪造 一 个 消息 签名 对 。 从 安全 性 角度 而 言 , 称 
为 存在 性 不 可 伪造 (Existential UnForgeability,EUF) 。 

一 个 签名 方案 不 可 能 是 无 条 件 安全 的 ,因为 对 一 个 给 定 的 消息 xz, 敌手 可 以 使 用 公开 
算法 Vrfyw 测 试 所 有 可 能 的 签名 yE $, 直 到 发 现 一 个 有 效 的 签名 。 因 此 ,给 定 足 够 的 时 
间 ,敌手 总 能 对 任何 消息 伪造 (一 个 ) 签 名 。 因 此 ,和 公 钥 加 密 一 样 , 设 计 的 目标 是 找到 计 
算 上 安全 的 签名 方案 。 

图 15. 2 给 出 了 签名 方案 的 安全 目标 和 敌手 能 力 的 比较 。 
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图 15.2 签名 方案 的 安全 目标 和 敌手 能 力 的 比较 


容易 知道 ,签名 方案 需要 达到 的 最 高 安全 性 是 EUF-CMA。 
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人 好 22 已 广 CVMA 安 全 性 的 定义 


1. 可 忽略 函数 

信息 理论 安全 (information theoretic security) 对 敌手 的 计算 能 力 没 有 假设 ,因而 是 
理想 的 。 但 完善 保密 的 局 限 是 密 钥 空间 必须 比 明文 空间 大 , 且 ”* 一 次 一 密 ? 在 实际 中 非常 
不 便 。 于 是 想到 能 否 将 安全 的 要 求 放宽 到 “实践 上 不 可 破译 ”, 从 计算 上 破解 是 不 可 行 的 ， 
即 达到 计算 安全 的 级 别 。 

基于 计算 的 方法 在 两 个 方面 “放宽 "了 完美 安全 概念 : 

(1) 安全 性 仅仅 对 抗 有 效 的 ”敌手 ,有效 的 ”是 指 在 可 行 的 时 间 里 运行 。 

(2) 敌手 潜在 的 成 功 概率 是 非常 小 的 (小 到 可 以 忽略 不 计 )。 

于 是 ,基于 计算 复杂 性 理论 的 现代 密码 学 在 讨论 任何 安全 定义 时 将 使 用 如 下 的 通用 
形式 : 如 果 特 定 的 敌手 不 能 完成 特定 的 攻破 , 则 对 给 定 任务 的 一 个 密码 学 方案 是 安全 的 。 
也 就 是 , 令 t,e 为 正 数 常量 ,e 二 1, 则 一 个 对 安全 的 具体 定义 ,大 体 地 说 ,将 会 是 以 下 的 形 
式 : 一 个 方案 为 (1,e) 安 全 ,如 果 每 个 运行 时 间 最 多 为 t 的 敌手 以 最 多 为 e 的 概率 成 功 攻 
破 该 方案 。 例 如 ,在 最 多 运行 2” 个 CPU 周期 的 情况 下 ,没有 敌手 能 够 以 高 于 于 2 “的 概 
率 攻破 该 方案 。 

与 定量 方法 相对 应 ,还 可 以 采取 渐进 方法 ,该 方法 能 够 表现 出 安全 性 和 安全 参数 (如 
密 钥 长 度 ) 之 间 的 相对 关系 。 

渐进 方法 来 源 于 计算 复杂 性 理论 ,将 敌手 的 运行 时 间 以 及 成 功 的 概率 视 为 某 个 参数 
的 函数 ,而 不 是 具体 的 数值 。 通 常 一 个 密码 方案 将 包含 一 个 安全 参数 (如 整数 nn) , 当 诚实 
双方 初始 化 方案 ( 即 生成 密 钥 ) ,它们 选择 某 个 值 作为 安全 参数 ;假设 这 个 值 被 任何 攻击 
该 方案 的 敌手 知道 。 那 么 敌手 的 运行 时 间 ( 以 及 诚实 方 的 运行 时 间 ) 以 及 敌手 的 成 功 概率 
将 都 被 看 作 n 的 函数 。 于 是 : 

(1) 将 “可 行 的 策略 或者" 有效 的 算法 ”的 概念 和 在 以 nn 为 参数 的 多 项 式 时 间 内 运行 
的 概率 算法 等 同 看 待 ( 使 用 PPT 来 代表 概率 多 项 式 时 间 Probabilisitc Polynormial- 
Time) 。 这 意味 着 ,对 于 一 些 常量 a,c ,安全 参数 为 ,该 算法 运行 时 间 为 a* nr。 要 求 诚 
实 方 在 多 项 式 时 间 内 运行 ,并 且 仅 关心 对 抗 多 项 式 时 间 的 敌手 。 但 蚌 注 意 ,敌手 尽管 要 求 
在 多 项 式 时 间 内 运行 ,但 可 能 比 诚实 方 的 计算 能 力 强 ( 且 运 行 更 长 时 间 )。 而 且 ,一 个 需要 
超 多 项 式 时 间 的 攻击 策略 不 被 认为 是 有 现实 意义 的 威胁 (所 以 基本 上 被 忽略 ) 。 

(2) 将 “小 的 成 功 概率 ”的 概念 和 成 功 概率 小 于 任何 以 为 参数 的 多 项 式 的 倒数 等 同 
看 待 ,这 意味 着 对 于 每 个 常量 c, 当 的 值 是 够 大 时 ,敌手 成 功 的 概率 小 于 n“。 比 任何 多 
项 式 的 倒数 增长 得 都 慢 的 函数 被 称 为 可 忽略 的 Cnegligible) 。 

可 忽略 的 成 功 概率 是 一 个 基于 计算 的 安全 中 的 十 分 关键 的 概念 。 现 代 密码 学 允许 将 
敌手 能 以 非常 小 的 概率 攻破 的 方案 仍 视 为 “安全 的 ”。 考 虑 到 多 项 式 运 行 时 间 是 可 行 的 ， 
类 似 地 ,认为 概率 为 多 项 式 的 倒数 是 显著 的 (足够 大 的 ) ,因此 ,对 某 个 ( 正 ) 多 项 式 p ,如果 
一 个 敌手 能 够 成 功 地 攻破 该 方案 的 概率 为 1/p(n), 则 该 方案 被 认为 是 不 安全 的 。 但 是 ， 
对 任意 多 项 式 p ,如 果 攻 破 该 方案 的 概率 渐进 地 小 于 1/p(n), 则 认为 该 方案 是 安全 的 。 
这 是 因为 敌手 成 功 的 概率 太 小 ,被 认为 是 无 趣 的 。 这 样 的 概率 叫做 可 忽略 的 ,其 严格 的 定 
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义 如 下 : 


定义 15.2 可 忽略 函数 的 定义 。 函 数 f 为 可 忽略 的 ,如 果 对 于 每 个 多 项 式 户 。) 


存在 一 个 N, 使 得 对 于 所 有 的 整数 二 NN, 都 满足 Fo) 一 ek 


一 个 和 上 面 等 价 的 公式 化 的 表述 是 ,对 所 有 常量 c, 存 在 一 个 N, 使 得 对 于 所 有 的 xz 
N ,满足 f(n) 二 n。 oe tn 对 于 任意 多 项 式 p(，* ) 


以 及 所 有 足够 大 的 值 ,满足 /(m) 二 F657。 通 常 将 一 个 可 忽略 函数 表示 为 negl。 

也 可 以 陈述 为 ,存在 一 个 多 项 式 pC。 a 

因此 ,对 渐进 安全 的 定义 一 般 采 用 下 面 的 形式 : 一 个 方案 是 安全 的 ,如 果 每 个 PPT 
敌手 以 可 忽略 的 概率 成 功 攻破 该 方案 。 具 体 而 言 ,一 个 方案 是 安全 的 ,如 果 每 个 概率 多 项 
式 时 间 的 敌手 执行 某 个 特定 类 型 的 攻击 ， td p(，), 存 在 一 个 整数 N, 对 


nn 之 NN, 敌手 在 这 次 攻击 中 成 功 的 概率 小 于 


2. 数字 签名 的 定义 

定义 15.3 ”数字 签名 方案 的 定义 。 一 个 数字 签名 方案 是 一 个 由 概率 多 项 式 时 间 算 
法 组 成 的 三 元 组 (Gen,Sign,Vrfy) ,满足 下 列 条 件 : 

(1) 密 钥 生成 算法 Gen 以 安全 参数 1" 为 输入 ,并 且 输 出 一 对 密 钥 (pk,sk) ,分 别称 为 
公 钥 和 私 钥 。 为 了 方便 ,假设 pk 和 sk 长 度 至 少 为 n, 并 且 n 可 以 由 pk,sk 确定 。 

(2) 签名 算法 Sign 以 一 个 私 钥 sk 和 消息 mE {0,1 作为 输入 。 输 出 一 个 签名 o, 表 
示 为 oc<-Signu (1m)。 

(3) 确定 的 验证 算法 Vrfy 以 一 个 公 钥 pk、 消 息 mx 和 一 个 签名 ce 作为 输入 。 输 出 一 
位 5, 当 65 二 1 时 意味 着 签名 有 效 , 当 4 二 0 时 为 签名 无 效 。 将 其 表示 为 6: 二 Vrfyy (mo)。 

此 方案 需要 对 于 任意 nn, 所 有 由 Gen(1") 输 出 的 (pk,sk) 以 及 任意 mE 10,1)* 必须 
满足 


3 n)” 


Vrfyw (mSignpx (1)) = 1 

如 果 (Gen,Sign, Vrfy) 对 于 所 有 由 Gen(1") 输 出 的 (pk,sk), 算 法 Signw 只 对 消息 
mE1{0,1)“” 有 定义 (并 且 Vrfyy 对 于 任意 m10.1) 人 "输出 都 为 0) ,此 时 称 (Gen,Sign， 
Vrfy) 是 一 个 消息 长 度 为 1(n) 的 数字 签名 方案 。 当 Vrfyw (ms,0o) 二 1 时 , 称 o 是 消息 m 的 
一 个 有 效 签名 (关于 某 个 公 钥 pk) 。 

3. 数字 签名 EUF-CMA 安全 的 定义 

有 了 可 忽略 函数 和 数字 签名 方案 的 定义 之 后 ,下 面 给 出 EUF-CMA 安全 的 定义 。 

给 定 一 个 由 签名 者 S 生成 的 公 钥 pk, 如 果 天 手 输出 一 个 消息 mx 和 有 效 签名 oc, 并 且 
先前 S 并 没有 给 mr 签名 , 称 敌 手 输出 一 个 “伪造 ”签名 。 类 似 在 消息 鉴别 中 ,数字 签名 的 
安全 性 意味 着 ,即使 敌手 允许 得 到 很 多 自己 选择 消息 的 签名 ,敌手 也 不 能 输出 一 个 伪造 。 
这 和 消息 鉴别 码 安全 性 的 定义 形成 了 类 比 。 

设 卫 = (Gen,Sign,Vrfy) 是 一 个 数字 签名 方案 ,对 于 敌手 A 和 参数 ,考虑 下 面 的 伪 
造 数字 签名 实验 SigX (7) : 
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(1) 运行 Gen(1") 得 到 密 钥 (pk ,sk)。 

(2) 将 pk 和 访问 “签名 预言 机 ?Sign(。 ) 的 权利 给 敌手 A( 此 预言 机 对 于 敌手 选 定 的 
任意 消息 mr 返回 一 个 签名 Signs (m))。 然 后 敌手 输出 (1m,o)。 设 Q 表示 A 在 执行 期 间 
问 询 签名 的 消息 的 集合 。 

(3) 当 且 仅 当 Vrfyw Cm,0) 二 1, 且 mx 针 Q 时 实验 输出 定义 为 1。 

定义 15.4 签名 方案 的 EUF-CMA 安全 。 一 个 签名 方案 了 二 (Gen,Sign,Vrfy) 如 果 
对 任意 概率 多 项 式 时 间 敌 手 A 存在 一 个 可 忽略 函数 negl, 满 足 

Pr[ Sig%i™ (n) = 1] < negl(n) 
则 此 签名 方案 在 适应 性 选择 消息 攻击 下 是 存在 性 不 可 伪造 (EUF-CMA)。 

这 里 给 出 示意 图 (图 15. 3) 来 方便 理解 。 通 常 使 用 攻击 者 A 和 系统 (也 成 为 挑战 者 ) 
之 间 的 游戏 来 描述 EUF-CMA 安全 性 。 对 签名 体制 (Gen,Sign,Vrfy) ,定义 安全 的 交互 
游戏 (game) 如 下 : 

(1) 系统 运行 Gen(1") 产 生 密 钥 对 (pk,sk) ,将 pk 给 A。 

(2) A 选择 合理 规模 的 一 系列 明文 ,系统 给 出 对 应 的 签名 。 

(3) A 输出 未 曾 问 询 的 消息 m* 的 签名 s* 。 

定义 敌手 A 的 伪造 优势 为 Adva 二 |PrLVrfy(pk,m* ,s* ) 二 1] 一 1/2|。 如 果 对 一 个 
签名 体制 而 言 敌手 的 伪造 优势 (用 安全 参数 表示 ) 是 可 忽略 的 , 则 称 该 签名 体制 是 EUF- 
CMA 安全 的 。 

用 集成 的 符号 可 表示 如 下 : 

Md S| Pr [Csk,pk) < 二 Gen(1") ， 
myU 


S= {s.%,5} < {Sign(sksrom) ,Sign(sk,r,m;)}, 
(m’ ,5*) 一 AG 5 pk) om’ $¢ S:Vrfy(pksm’ ,1s*)=1]—1/2|<e 
为 了 突出 签名 的 随机 性 ,这 里 在 签名 生成 算法 中 使 用 了 随机 数 +。 去 掉 绝对 值 符号 ， 
可 变 为 如 下 形式 ， 
VD yh Pr [Csk,pk) < Gen(1") ， 
17e 


S= {ss} < (Sign(sksrsm), ,Sign(sk,r,m;)}, 
mm’ 5°) Alsiseeessspk) sm’ ¥ S:Vrfy(pksm’ 1s*)=1]—1<e 


荆 23 随机 预言 模型 [Wy 
k sk 
随机 预言 模型 是 散 列 函 数 的 一 种 理想 化 模型 ,该 模 | - Se 
型 对 于 每 一 个 消息 都 试图 得 到 一 个 理想 的 散 列 函 数值 。 消息 
在 这 个 模型 中 ,随机 从 FX 中选 出 一 个 散 列 函 数 H:X 一 ee 
pi ds , 签名 O | 签名 预言 机 
Y, 仅 仅 允 许 预 言 器 访问 函数 五 ,这 表示 对 于 任 一 消息 
,随机 预言 模型 都 不 会 给 出 一 个 公式 或 者 算法 来 计算 | 


消息 摘要 及 (z) 的 值 。 因 此 ,计算 HCz) 值 的 唯一 方法 是 (0 _ (ms 未 同 询 过 ) 
问 询 预言 机 ,这 种 散 列 函数 模型 相当 于 根据 给 出 的 消息 
工 , 在 随机 数 表 中 查询 H(z) 的 值 ,对 于 每 一 个 +, 都 有 随 。 图 15.3 EUF-CMA 安全 性 
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机 的 H(z) 与 之 对 应 。 


定义 15.5 ”随机 预言 模型 的 定义 。 令 FX 是 所 有 从 义 到 YY 的 函数 集合 。 假 定 |X|= 
N,|Y|= 二 M, 则 |F*Y | 二 MY。 任何 散 列 函 数 徐 FCF*XY 被 称 为 一 个 (N ,MD) 散 列 簇 。 

对 于 随机 预言 模型 ,以 下 结论 成 立 。 

定理 15.1 随机 选择 的 HEF** ,并 取 子 集 X。SX, 假 设 当 且 仅 当 xzE Xo。 时 ,H(z) 
的 值 t 由 问 询 预言 机 确定 ,那么 对 于 所 有 的 EX。 和 yE€Y,Pr(H(zx)==y)=1/M。 

以 上 结论 中 ,概率 Pr(H(z) 王 y) 表 示 对 任意 的 xEX, 计 算 函 数 了 H(z) 的 值 等 于 指定 
值 的 条 件 概 率 。 通 过 该 结论 可 知 ,M 的 值 越 大 ,产生 碰撞 的 概率 就 越 小 。 

随机 预言 机 的 确定 性 和 均匀 输出 特性 意味 着 随机 预言 机 输出 的 炉 大 于 其 输入 的 炉 ， 
但 是 ,根据 香农 的 焙 理 论 ,一 个 确定 函数 绝 不 可 能 “放大 ” 焙 。 因 此 ,现实 中 不 存在 随机 预 
言 机 。 
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FDH 是 指 全 域 散 列 函数 (Full Domain Hash,FDH) , 即 其 值 域 与 陷 门 单 向 置换 的 定 
义 域 相 同 ,安全 性 证 明 中 需要 FDH 满足 随机 预言 模型 。 

令 GenRSA 如 前 所 述 , 令 玉 为 函数 ,其 定义 域 为 (0,1)" , 值 域 为 ZX (对 任意 的 N) 。 
如 下 构造 一 个 RSA-FDH 签名 方案 : 

(1) Gen: 输入 1" ,运行 GenRSA(1") 来 计算 (4N,e,d), 令 厂 的 值 域 为 ZX。 公 钥 为 
《N,e), 私 钥 为 (N,d)。 

(2) Sign: 输入 一 个 私 钥 (N,d) 以 及 一 个 消息 mE {0,1}" ,计算 

o: = [H(im)’ mod N] 


(3) Vrfy: 输入 一 个 公 钥 (N,e) ,一 个 消息 mn 以 及 一 个 签名 o, 当 且 仅 当 o 二 HGm) 
mod N 时 ,输出 1。 

定理 15.2 如 果 假 设 RSA 问题 是 困难 的 , 互 为 随机 预言 机 ,那么 该 构造 方案 是 适应 
性 选择 消息 攻击 下 存在 性 不 可 伪造 的 (EUF-CMA 安全 ) 。 

证 明 : 令 本 二 (Gen,Sign,Vrfy) 表 示 构 造 方案 , 令 A 为 一 个 概率 多 项 式 时 间 敌 手 。 
定义 

e(n) Ee py eip forgen ntil) = 1] 

为 了 方便 ,描述 实验 Sig-forgeaA,r(z) 的 步骤 : 

(1) 选择 一 个 随机 孔 数 互 。 

(2) 运行 GenRSA(1") 来 获得 公 钥 和 私 钥 (N ,e,d)。 

(3) 敌手 A 被 指定 pk=(N,e) ,可 以 问 询 H(，。) 以 及 签名 预言 机 Signiw,w (。)。 当 
A 请 求 一 个 消息 m 的 签名 时 , 它 被 指定 回复 oc: 二 [Hlm)* mod Nj。 

(4) A 输出 一 对 值 (m,o) ,其 中 A 之 前 没有 请 求 m 的 签名 。 如 果 o 二 HOm) mod N， 
该 实验 的 输出 为 1, 否 则 为 0。 

为 了 简化 ,不 失 一 般 性 地 假设 : A 未 向 随机 预言 机 提出 两 次 相同 的 问 询 ; @ 如 果 
A 请 求 消 息 m 的 签名 ,那么 它 在 之 前 已 经 问 询 过 电 (m); @ 如 果 A 输出 (Gm,0) ,那么 它 之 
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前 已 问 询 过 电 (m)。 令 g 一 g(n) 为 A 问 询 随机 预言 机 的 次 数 的 上 界 。 考 虑 下 面 的 算 
法 A’。 

算法 A': 

该 算法 的 输入 指定 为 (N,e,y* )。 

(1) 选择 j 一 {1,… ,gq}。 

(2) 指定 A 公 钥 pk 二 (N,e)。 在 表格 中 存储 三 元 组 (。,。,。) ,初始 值 为 空 。 一 个 
条 目 (mi,oi;,y;) 指 示 出 : A' 已 经 令 瑟 (mi) 一 以 及 of 二 y; mod N。 

(3) 当 A 向 其 随机 预言 机 问 询 玉 (m;) 时 ,如 下 作答 : 

@ 如 果 i=j ,返回 y*。 

@ 否则 ,选择 一 个 随机 值 mc 一 ZX ,计算 y;: 二 [of mod Nj, 将 y; 作为 答案 返回 ,并 且 
在 表格 中 存储 (mi ,6; ,yi)。 

当 A 请 求 消息 m 的 签名 时 , 令 i 满足 m==m;, 如 下 回答 问 询 :? 

Q@ 如 果 i 隆 j ,那么 在 表格 中 ,存在 一 个 条 目 mi ,60;,y;。 返 回 mi。 

@ 如 果 i 二 j ,那么 中 止 该 实验 。 

(4) 在 A 执行 的 最 后 ,输出 Gm,o)。 如 果 汉 ==mj ,of 二 y”mod N ,那么 输出 c。 

很 显然 ,A' 是 在 多 项 式 时 间 内 运行 的 。 假 设 A’ 的 输入 通过 运行 GenRSA(1") 来 生 
成 ,获得 (N,e,d) ,然后 均匀 随机 地 选择 y < 一 ZX 。 在 第 一 步 中 ,由 A' 选 择 出 来 的 标志 j 
代表 着 一 个 猜测 : A 的 哪 一 个 预言 机 问 询 将 会 对 应 着 A 最 后 输出 的 伪造 签名 。 当 该 猜 
测 是 正确 的 时 候 ,A 作为 一 个 子 程序 被 A' 在 实验 RSA-inva',cmgsAs(z) 中 运行 时 ,以 及 A 在 
实验 Sig-forgear(Cz) 中 所 见 视图 的 分 布 是 相同 的 。 这 是 因为 : 当 作为 一 个 子 程序 被 A' 运 
行 时 ,A 的 g 个 随机 预言 机 问 询 中 的 每 一 个 都 确实 是 用 随机 值 来 回答 的 : 

(1) 问 询 也 (mj) 是 用 y* 来 回答 的 ,y* 是 从 ZW 中 均匀 随机 选择 出 来 的 。 

(2) 间 询 也 (m;) (i 隆 站 是 用 yi; 二 [of mod Nj 来 回答 的 ,其 中 6 是 从 ZW 中 均匀 随机 选 
择 的 。 因 为 RSA 是 一 个 置换 ,这 意味 着 y; 在 ZW 也 是 均匀 分 布 的 。 

此 外 和 A 的 分 布 是 相互 独立 的 ,除非 A 正好 请 求 了 消息 mj 的 签名 。 但 是 ,在 这 
种 情况 下 ,A’ 的 猜测 是 错误 的 (因为 一 旦 A 请 求 了 mj 的 签名 , 它 就 不 能 输出 一 个 消息 m 
的 伪造 签名 ) 。 

当 和 A:“ 猜 测 正确 , 且 A 输出 了 一 个 伪造 签名 ,那么 A' 就 解决 了 RSA 难题 的 指定 实例 
(因为 “二 y”mod N, 因 此 ao 是 y* 的 逆 )。 因 为 A'“ 正 确 猜 中 的 概率 是 1/g, 有 

PrLRSA-invA',ceRsA (n) = 1] = e(n)/g(n) 
因为 RSA( 与 GenRSA 相关 ) 是 困难 的 ,存在 着 一 个 可 忽略 的 函数 negl 满足 
PrLRSA-invAa',ceRsA (n) = 1] < negl(n) 

因为 g 是 多 项 式 ,于 是 e(n) 也 是 可 忽略 的 ,证 毕 。 


@ 这 里 m; 表示 的 是 向 随机 预言 机 的 提出 的 第 个 问 询 。 前 面 已 经 假设 ,如 果 A 请 求 一 个 消息 的 签名 ,那么 它 
之 前 已 经 向 散 列 随机 预言 机 询问 过 该 消息 了 。 
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15.3 可 证 明 安 全 协议 简介 


在 研究 协议 的 安全 性 时 ,通常 假设 其 中 使 用 的 基本 密码 算法 (如 加 密 算法 、 消 息 鉴 别 
码 和 签名 算法 等 ) 是 安全 的 ,并 把 重点 放 在 协议 自身 结构 的 安全 上 。 早 期 的 协议 安全 性 研 
究 通过 攻击 检测 进行 , 即 看 协议 是 否 能 够 抵抗 已 知 的 各 种 攻击 。 后 来 产生 了 形式 化 分 析 
(如 基于 各 种 逻辑 推理 ) 的 思想 和 各 种 理论 。 

形式 化 方法 是 指 用 数学 方法 描述 和 推理 基于 计算 机 的 系统 ,在 技术 上 通过 精确 的 数 
学 手段 和 强大 的 逻辑 分 析 工 具 得 到 支持 。Needham 和 Schroeder 首次 提出 了 使 用 形式 化 
的 方法 对 协议 进行 分 析 的 思想 。1981 年 Dolev 和 Yao 发 表 了 第 一 篇 用 形式 化 方法 对 协 
议 进行 分 析 的 文章 。 随 后 出 现 了 一 系列 用 多 项 式 时 间 算 法 对 特定 类 型 协议 的 安全 性 进行 
分 析 的 方法 。1990 年 Burrows、Abadi 和 Needham 提出 了 一 种 基于 逻辑 表示 和 推理 的 方 
法 , 称 为 BAN 逻辑 ,此 后 出 现 了 大 量 的 逻辑 分 析 方法 。1998 年 Paulsont 提出 了 归纳 证 
明 法 。1999 年 Abadi 提出 了 类 型 检测 方法 。2001 年 Song 等 人 利用 串 空间 原理 发 展 了 
一 种 自动 检测 工具 。 

近年 来 , 随 着 可 证 明 安 全 理论 的 兴起 和 在 算法 设计 中 的 成 功 应 用 ,协议 的 可 证 明 安 全 
理论 也 应 运 而 生 , 成 为 协议 安全 性 分 析 的 另外 一 个 重要 思路 。 基 于 计算 复杂 性 的 方法 采 
用 公理 集合 论 的 方法 ,将 安全 建立 在 一 个 计算 复杂 性 理论 这 一 基础 之 上 ,从 密码 学 意义 上 
讲 有 着 坚实 的 基础 ,而 大 多 数 建立 于 Dolve-Yao 模型 之 上 的 形式 化 方法 没有 真正 建立 起 
这 种 密码 学 的 可 靠 性 。 因 此 ,将 这 两 种 方法 统一 到 一 个 框架 之 中 ,建立 形式 化 方法 的 可 靠 
性 成 为 目前 备 受 关注 的 研究 内 容 , 将 形式 化 分 析 和 基于 计算 复杂 性 的 安全 性 证 明 结 合 
来 的 思路 可 能 会 在 两 种 方法 中 取长补短 。 

这 里 简要 介绍 一 个 可 证 明 安 全 认证 协议 的 例子 。 

Bellare 和 Rogaway 在 1993 年 和 1995 年 分 别 给 出 了 可 证 明 安全 性 的 两 方 和 三 方 会 
话 密 钥 分 配 协议 。 协 议 本 身 很 简单 ,但 其 意义 在 于 首次 建立 了 会 话 密 钥 分 配 协议 的 形式 
化 安全 模型 , 称 为 BR 安全 模型 。 这 是 一 种 现实 模型 , 即 协议 只 定义 在 现实 世界 中 ,而 安 
全 性 是 通过 会 话 密 钥 与 某 随机 数 的 计算 不 可 区 分 性 来 定义 的 (基本 方法 是 使 会 话 密 钥 和 
一 个 敌手 易于 得 到 的 某 伪 随 机 数 紧密 联系 。) 

协议 定义 : P= 二 (I, 亚 ,LL), 这 是 一 个 多 项 式 时 间 可 计算 的 三 元 组 函数 ,了 描述 诚实 
方 的 行为 ,更 描述 可 信 中 心 S 的 行为 ,LL 描述 用 户主 密 钥 的 初始 分 布 。 

协议 参与 方 : I 二 {10,1,2,…,N}(0 代表 S) ,敌手 巨 。 协 议 参与 者 的 所 有 预言 机 只 能 
被 动 地 回答 攻击 者 EE 对 它们 进行 的 各 种 问 询 ,预言 机 之 间 并 不 进行 直接 的 通信 。 也 就 是 
说 ,模型 中 至 少 存在 一 个 良性 (benign) 攻 击 者 , 它 唯一 的 动作 就 是 忠实 地 传递 预言 机 之 间 
的 协议 消息 。 

敌手 模型 : EF 控制 所 有 合法 方 之 间 的 通信 (如 可 以 控制 协议 启动 时 间 、 算 改 、 奉 换 或 
删除 数据 等 ) ,形式 化 为 一 个 概率 图 灵机 ,并 且 它 能 够 访问 模型 中 的 所 有 预言 机 , 即 Oracle 
HB; 和 5;, 其 中 i,jE1。 码 ;形式 化 了 成 员 i 试图 和 成 员 j 协商 一 个 会 话 密 钥 的 通信 实 
例 ,Y8 形式 化 了 S 试图 给 i\j 分 配 会 话 密 钥 的 通信 和 实例 。 
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E 所 能 发 起 的 攻击 形式 化 为 5 种 预言 机 问 询 : (SendPlayer,i,j,S,z);(SendS,i,j， 
S,z);(Reveal,i,j,S);(Corrupt,i,K);(Test,i,j,S)。 前 4 种 预言 机 问 询 可 以 是 多 项 式 
形式 的 ,形式 化 了 EE 所 能 发 动 的 各 种 攻击 ,如 窍 听 \ 已 知 会 话 密 钥 、 重 放 、 收 买 某 合 法 方 等 
攻击 ,(Test,i,j,S) 则 只 能 问 询 一 次 ,是 为 了 定义 安全 性 而 提供 的 “测试 ”预言 机 。 

(SendPlayer,i,j,S,x): 可 以 向 预言 机 [73; 发 送 消息 。 该 预言 机 按照 协议 规范 应 
答 一 个 响应 消息 。 

(SendS,i,j,S,x):; 可 以 向 预言 机 3; 发 送 消息 。 该 预言 机 按照 协议 规范 应 答 一 
个 响应 消息 。 

(Corrupt,i,K): 此 问 询 要 求 被 问 询 的 协议 参与 者 返回 它 拥 有 的 长 期 私 钥 。 相 应 地 ， 
回答 过 Corrupt 问 询 的 实体 的 状态 被 称 为 “已 攻陷”(corrupted)。 

(Reveal,i,j,S): 收 到 此 问 询 的 预言 机 返回 它 协商 得 到 的 会 话 密 钥 。 如 果 该 预言 机 
的 状态 还 不 是 “已 接受 ”(accepted) ,那么 返回 一 个 符号 | 表示 终止 。 

(Test,i,j,S):; EF 可 以 向 一 个 预言 机 发 出 Test 问 询 。E 将 收 到 该 预言 机 所 拥有 的 会 
话 密 钥 或 者 一 个 随机 值 。 具 体 来 说 ,该 预言 机 通过 投 找 一 枚 公平 硬币 5E R10,1}) 来 回答 
此 查询 。 若 投 币 结果 为 0, 那么 它 返回 会 话 密 钥 的 比特 长 度 。 

安全 性 定义 : 敌手 的 成 功 是 以 其 在 进行 Test 问 询 之 后 区 分 会 话 密 钥 与 随机 密 钥 的 
优势 来 衡量 的 。 除 合理 性 (validity) 之 外 ,敌手 得 到 预言 机 问 询 (Test,i,j,S) 的 回答 后 ， 
对 挑战 进行 “猜测 ”, 得 到 正确 应 答 的 优势 函数 为 Advantageb,r,s, (k)= (2Pr[GoodGuess]— 
1) ,如 果 该 值 是 可 忽略 的 , 则 称 协议 是 安全 的 。 这 里 , 当 敌 手 发 起 Test 询问 时 ,预言 机 回 
答 如 下 : 5E R40,1) ,如 果 4 二 0, 返 回 一 个 随机 数 ,否则 返回 敌手 要 得 到 的 会 话 密 钥 ;如 果 
敌手 对 4 的 取 值 猜测 正确 ,就 称 事件 GoodGuess 发 生 , 敌 手 成 功 。 敌手 随 机 猜测 成 功 的 
概率 为 /2。 上 述 定 义 就 是 表明 ,如 果 敌 手 猜 测 成 功 的 概率 偏离 1/2 的 值 是 可 忽略 的 , 则 
敌手 失败 ( 即 敌 手 不 具有 好 于 随机 猜测 的 能 力 , 于 是 不 能 区 分 会 话 密 钥 与 随机 密 钥 ), 即 意 
味 着 协议 是 安全 的 。 


本 部 分 介绍 了 基于 身份 的 公 钥 密码 学 ,包括 加 密 、 密 钥 共享 、 密 钥 协商 、 签 名 .身份 识 
别 协议 。 另 外 还 介绍 了 可 证 明 安 全 公 钥 密码 学 的 基础 知识 以 及 可 证 明 安全 数字 签名 和 
协议 。 

本 部 分 的 重点 是 基于 身份 的 签名 、 基 于 身份 的 密 钥 共享 体制 .RSA-FDH ,难点 是 双 
线性 映射 假设 、 可 证 明 安全 性 .EUF-CMA 安全 性 。 

本 部 分 要 点 如 下 : 


双 线 性 映射 , 双 线 性 DH 假设 
Sy a i IBE 方案 
SOK 密 钥 共享 

Joux-Mao 密 钥 协商 

Shamir 签名 

Cha-Cheon 签名 

Guillou-Quisquater 协议 
Cha-Cheon 协议 


密 铀 建立 | 
基于 身份 的 公 钥 密码 学 
签名 | 
第 4 部 分 的 身价 识别 | 
主要 知识 点 概念 
可 证 明 安 全 概述 基本 电路 
方案 的 定义 
可 证 明 安全 签名 与 协议 EUF-CMA 安全 
可 证 明 安全 签名 | 袖 预 训 模 更 
RSA-FDH 及 其 安全 证 明 
可 证 明 安全 协议 
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